16035

Что такое сетевая активность пользователей и как ее отслеживать

В настоящее время сложно представить работу компании и бизнеса без сети. В 2019 году индекс сетевой активности в России, по данным Всемирного экономического форума, составил 54,98. Индекс имеет четыре показателя: технологии, люди, управление и влияние. Поэтому оптимизация и сетевой мониторинг — важная задача ИТ-отдела компании. Антивирусы и файерволы не смогут защитить ее от внутренних угроз: ошибочных действий сотрудников и уязвимостей самой сети.

На каждом сетевом устройстве в ИТ-инфраструктуре организации происходит множество действий, таких как передача пакетов, сообщений из сетевых протоколов, событий состояния устройства и т. д. Все это и есть сетевая активность.

Сетевая активность используется для выявления узких мест в сети при наличии проблем с нагрузкой между серверами. Она влияет на общую производительность и работоспособность сети, а также время безотказной работы. Поэтому компаниям необходимо осуществлять контроль сетевой активности пользователей. Для этого используются инструменты сетевого мониторинга.

Мониторинг сетевой активности

Отслеживание и анализ трафика нужны:

  • для диагностики и решения проблем в сети;
  • контроля безопасности конфиденциальных данных;
  • быстрой реакции на ошибки и неисправности;
  • предупреждения длительного простоя сети;
  • предотвращения подозрительной сетевой активности и атак.

Можно отслеживать активность практически любой сети: проводной или беспроводной, локальной сети предприятия и т. д. Мониторинг сетевой активности — это непрерывный процесс наблюдения за рабочей сетью. По его результатам можно делать выводы о качестве работы сети и ее компонентов. Контроль осуществляется системным администратором с помощью установленной системы мониторинга.

К системам мониторинга относятся программные и аппаратные средства, которые отслеживают сеть и ее компоненты: трафик, пропускную способность, время безотказной работы. Эти системы обнаруживают устройства и элементы сети, обновляют статус сети, а также уведомляют администратора о проблемах. Системы предоставляют отчеты по активности за определенный период и записывают статистику во внутреннюю базу данных. Важно сохранять всю информацию по сетевой активности. Задача сетевого администратора — поиск и анализ сетевых проблем на основе этих данных и принятие решений по их устранению.

Способы анализа сетевой активности

Методов проверки и мониторинга много, и все они зависят от целей анализа, сетевой конфигурации, файловой системы и т. д.

Начнем с методов, основанных на применении маршрутизатора. Функция мониторинга встроена в маршрутизатор и не нуждается в установке дополнительного ПО. Имеют низкую гибкость.

  • Протокол простого сетевого мониторинга (SNMP). Позволяет управлять производительностью сети. Собирает данные по трафику до конечного хоста через пассивные датчики. Ключевые компоненты: управляемые устройства, агенты и системы управления сетью (NMS). Протокол SNMP работает на прикладном уровне и использует пассивные сенсоры для отслеживания сетевого трафика и производительности сети. Создает угрозу безопасности тем, что не имеет аутентификации.
  • Удаленный мониторинг (RMON). Включает в себя сетевые мониторы и консольные системы для изменения данных. Может настроить сигналы для отслеживания сети по определенному критерию. Компоненты RMON: датчик (агент или монитор) и клиент (станция управления). Основан на протоколе SNMP.
  • Netflow. Это сетевой протокол, предназначенный для учета сетевого трафика и , разработанный компаниейCisco Systems. По данным Netflow можно определить источник трафика и причины переполненности. Состоит из трех компонентов: FlowCaching (кэширующий поток), FlowCollector (собиратель информации о потоках) и Data Analyzer (анализатор данных). Преимущество Netflow — наглядные и удобные графики активности сети на любом отрезке времени.

Теперь рассмотрим методы, не основанные на применении маршрутизатора, которые нуждаются в дополнительном программном или аппаратном обеспечении. Являются более гибкими. Бывают активными и пассивными.

  • Активный мониторинг. Осуществляет измерения между двумя конечными точками и сообщает о неполадках при их наличии. Недостаток активного мониторинга — измерения в сети могут вмешиваться в нормальный трафик. Это вызывает сомнения в ценности информации по этим пробам. Этот метод используется редко.
  • Пассивный мониторинг. Отслеживает информацию только об одной точке в сети. Осуществляется с помощью любой программы, которая вытягивает пакеты. Минус метода — измерения можно проанализировать только офлайн.
  • Комбинированный мониторинг. Содержит две технологии: просмотр ресурсов на концах сети (WREN) и монитор сети с собственной конфигурацией (SCNM). WREN активно обрабатывает данные при малом трафике и пассивно при большом. SCNM собирает данные на 3 уровне проникновения.

Мониторинг производительности сети (Network Performance Monitoring). Это инструмент для анализа производительности сетевых компонентов, каналов связи и передаваемого трафика. Отличается от классического Network Monitoring (SNMP и т. д.) тем, что работает с реальным сетевым трафиком и данные анализируются в реальном времени. Пользователь сам выбирает приложения для контроля. Поддерживает Flow-технологии.

Программы для просмотра сетевой активности

Данный тип программного обеспечения помогает быстро реагировать на подозрительную активность в сети, анализировать сетевые процессы и автоматизировать сетевую безопасность.

  1. Cacti — инструмент мониторинга с открытым исходным кодом. Строит графики на основе практически любых статистических данных. Метод сбора данных SNMP, но могут использоваться сценарии на Perl или PHP. С помощью плагинов строит карту сети в реальном времени.
  2. Observium. Отслеживает состояние сети в реальном времени и анализирует уровень производительности. Графический интерфейс дает большой выбор надстроек. Отчеты в виде диаграмм и графиков. Основан на протоколе SNMP.
  3. Nagios. Дает возможность удаленно корректировать нагрузку на оборудование, следить за загруженностью памяти в БД и за физическими показателями оборудования (температура материнской платы). Автоматически посылает сообщения о подозрительной активности. Недостаток для начинающих — конфигурация через командную строку.
  4. PRTG Network Monitor. Можно использовать не только для сканирования устройств, но и для выявления сетевых атак. Сохраняет статистические данные в БД. Есть возможность посмотреть карту сети в реальном времени и сбора технических параметров устройств, подключенных к сети. Графический интерфейс понятен и открывается в любом браузере.
  5. Ранее в Windows XP была функция индикатора сетевой активности — значок двух мониторов, которые мерцали при наличии входящего или исходящего трафика. В операционных системах Windows 7 и Vista эту функцию убрали. Сегодняшней альтернативой может быть программа Network Activity Indicator. Ее интерфейс похож на Windows. После установки необходимо правой кнопкой мыши нажать на иконку программы, далее пункт «Настройки». После этого нужно выбрать необходимые опции и нажать «Применить». Трафик будет отображаться при наведении курсора на иконку программы.

 

 

Подпишитесь на рассылку Смарт-Софт и получите скидку на первую покупку

За подписку мы также пришлем вам white paper "Основы кибербезопасности в коммерческой компании".

Назад
Далее
Рекомендуем почитать Смотреть все

Как обезопасить бизнес от вирусов-вымогателей?

Теги: Защита от вымогателей, Информационная безопасность бизнеса

Интеграция Traffic Inspector Next Generation с Active Directory и legacy AD

Теги: Active Directory, Traffic Inspector Next Generation, Legacy AD, FreeIPA, Astra Linux

Киберпреступники спекулируют на панике, вызванной коронавирусом

Теги: кибербезопасность, коронавирус, COVID-19, фишинг, мошенники в сети

Попробуйте бесплатно в течение 30 дней

Traffic Inspector Next Generation подойдет и вашему бизнесу вне зависимости от его размеров. Убедитесь!
Меню навигации
Бесплатный звонок по России 8 800 511-05-81
Сообщение отправлено
Спасибо за заявку! Мы свяжемся с вами в ближайшее время.
ОК
БЕСПЛАТНОЕ ТЕСТИРОВАНИЕ
TRAFFIC INSPECTOR NEXT GENERATION
Вы получите
полнофункциональный комплекс, сможете изучить удобный интерфейс и попробовать все средства защиты, такие как:
Файрвол
Антивирус
Фильтрация трафика
IDS/IPS
и многое другое.
Тестовое оборудование всегда есть на складе и мы предоставим его в кратчайшие сроки. Детали расскажет наш специалист — просто оставьте заявку!
БЕСПЛАТНОЕ ТЕСТИРОВАНИЕ
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Благодарим за заказ! Менеджер свяжется с вами в ближайшее время.
ОК
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Выберите устройство
S100-DE
S100-NP
S100 FSTEC-NP
S300-AQ
S300 FSTEC-AQ
S500-DE
M700-AQ
M700 FSTEC-AQ
M1000-DE
L1000+-DE
L1500+-AQ
L1500 FSTEC-AQ
Light
Программное обеспечение
ФСТЭК
Облачный NGFW
Укажите количество
Стоимость будет рассчитана специально для вас
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Благодарим за заказ модуля! Менеджер свяжется с вами в ближайшее время.
ОК
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Выберите модули
Traffic Inspector Next Generation Anti-Virus powered by Kaspersky
NetPolice для Traffic Inspector Next Generation
MULTIFACTOR для Traffic Inspector Next Generation
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Спасибо за ваше обращение! Менеджер свяжется с вами в ближайшее время.
ОК
Заказ звонка
TRAFFIC INSPECTOR NEXT GENERATION
Заказ звонка
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Спасибо за ваш вопрос! Менеджер свяжется с вами в ближайшее время.
ОК
Задайте вопрос
TRAFFIC INSPECTOR NEXT GENERATION
Задайте вопрос
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Добро пожаловать в программу White Label! Мы свяжемся с вами в ближайшее время.
ОК
WHITE LABEL
партнерская программа
WHITE LABEL
партнерская программа