Согласно исследовательским данным, более 50% всего потока информационных данных в России приходилось на просмотр видео в режиме онлайн. Большинство случаев заражения компьютеров вредоносными программами происходит в результате посещения сайтов, никак не связанных с работой или любой другой полезной деятельностью. Эти и десятки других факторов негативно влияют на информационную безопасность компании, поскольку непосредственно связаны с деятельностью ее персонала. Контроль интернет-трафика — один из нескольких действенных инструментов, позволяющих упорядочить работу персонала и оборудования в сети Интернет.

Контроль трафика: что это такое?

Под контролем трафика понимают процесс анализа объема, содержания поступающих и исходящих пакетов данных, а также работоспособности программного обеспечения и сетевого оборудования.

Контроль трафика сети входит в обязанность системных администраторов локальных сетей, если штатное расписание компании содержит такую должность.

Для обмена информацией между двумя сетями, использующими разные протоколы связи, используют программные и/или аппаратные маршрутизаторы (сетевые шлюзы). Кроме основной функции — конвертации пакетов сведений для работы с новым протоколом — сетевой шлюз подсчитывает объем принятого/исходящего трафика. В большинстве случаев шлюзы комбинируют с сетевыми экранами (фаерволами) — программными или программно-аппаратными средствами, предназначенными для анализа и фильтрации информационных потоков.

Цели контроля трафика

Повышение производительности труда. Низкая само мотивация, неправильное распределение обязанностей, полное отсутствие контроля за деятельностью — начало списка причин снижения производительности. Работники организации или компании вместо работы просматривают видео (фильмы, сериалы, ролики), занимаются интернет-серфингом, скачивают большие объемы данных (те же видео), переписываются в соц. сетях, мессенджерах или играют в компьютерные игры. Эти занятия могут отнимать до 50-60% рабочего времени, т.е. Больше половины бюджета нанимателя на выплату заработной платы расходуется впустую.

Увеличение пропускной способности канала связи. Средняя по РФ скорость интернет-соединения 10-12 Мб/с — недостижимый показатель для районных городов, отдаленных регионов. В некоторых организациях доступ к Интернету осуществляется через мобильных операторов связи, которым крайне невыгодны безлимитные тарифы, самый “честный” из них, в лучшем случае снижает скорость в ночное время. Одновременный просмотр сериалов на 4-5 ПК из 15-20 серьезно ухудшает пропускные возможности роутера, затрудняя, например, участие руководителя в видеоконференции или онлайн-связь главного бухгалтера с представителем контролирующего органа. Контроль сетевого трафика позволяет установить, какое из рабочих мест нуждается в повышенной пропускной способности или увеличенном объеме трафика.

Проверка работоспособности сетевого оборудования или специального ПО. Сбои интернет-соединений, скачки в связи могут происходить из-за поломки сетевых плат, неверной настройки серверов после ремонта или обслуживания.

Обеспечение информационной безопасности. Ослабленный или отсутствующий контроль трафика интернета в локальной сети, на компьютере приводит к серьезным последствиям. Нарушители политики информационной безопасности часто заражают устройства вирусами, троянскими программами, снифферами и другим ПО, предназначенным для получения удаленного доступа к серверу, компьютерам, облачным хранилищам. При попытке проникнуть в сеть извне или записать на накопитель исполняемые вредоносные файлы сетевые экраны вовремя замечают подозрительную активность, не согласованную с разрешенными политиками, и подают сигнал администратору локальной сети.

Что нужно знать про сетевой трафик

С английского “traffic” переводится как грузооборот, движение. Под интернет-трафиком или сетевым трафиком понимают информационные потоки, которыми обмениваются между собой абоненты локальной сети и/или в Интернете. Измеряется пакетами или в килобайтах (кб), мегабайтах (Мб), гигабайтах (Гб), терабайтах (Тб). Различают несколько видов трафика:

  • по источнику поступлений;

  • по направлению пересылки пакетов.

В первом случае инфопотоки делятся на внешние, т.е. данными обмениваются абоненты в сети Интернет (интернет-трафик), и внутренние (источники — абоненты корпоративной сети). Исходящий трафик — данные поступают во внешнюю сеть, входящий — пакеты принимаются из внешней среды.

Источниками интернет-трафика являются:

прямые переходы на сайты в браузерах при введении адреса сайта;

переходы со ссылок в электронных письмах, через рекламные баннеры;

поисковые системы Google, Яндекс и т.п. (при формировании ответа на поисковые запросы пользователей);

Методы сбора трафика

Контроль трафика на компьютере (исходящих/входящих потоков данных) в компании можно несколькими методами, например, перехватывать пакеты прямо с ПК, используя маршрутизатор, VPN-сервер, или на сервере при помощи специального ПО.

Firewall

Фаервол (“огненная стена” с англ.) — сетевой экран, специальная программа, предназначенная для перехвата и анализа трафика, также известен всем пользователям ПК как брандмауэр. Если при настройке правильно сформулировать правила захвата и анализа (так называемые политики), экран способен эффективно предотвращать проникновение вредоносного ПО: вирусов, программ-шантажистов, кейлоггеров и т.п. Принцип работы: правильно настроенные правила поведения при получении подозрительного пакета направляют его в системные библиотеки, где с полученными сведения работает анализирующее приложение (набор приложений). При выявлении угроз пользователю компьютера предлагается поместить файл в карантин, уничтожить его или разрешить все действия.

Virtual Private Network (VPN)

Использование частной виртуальной сети в качестве сервера удаленного доступа позволяет использовать ее как компонент связки “узел-узел” для связи, например, “головной офис — филиал” или удаленного доступа через незащищенную точку (общественный Wi-Fi).

Принцип работы: роутер используется для маршрутизации исходящего/входящего трафика, а также в качестве VPN-сервера для декодирования, модуляции логических туннелей, которые передают пользовательские потоки данных.

Контроль трафика пользователей производится с помощью следующих протоколов:

  • PPTP — набор правил, обеспечивающий прием/передачу пакетов на высокой скорости. Высокая популярность и скорость нивелируются низкой надежностью;

  • OpenVPN — протокол с открытым исходным кодом, использующийся большинством VPN-сервисов. Обеспечивает хорошее сочетание скорость/надежность/защита, регулярно проверяется на уязвимости;

  • SSTP — собственная разработка Microsoft, рекомендуется для работы на устройствах под управлением ОС Windows;

  • L2TP/IPSec — сервисы часто применяют протокол для замены OpenVPN. Не рекомендуется из-за высокой уязвимости.

Маршрутизаторы

В качестве маршрутизатора используют персональный компьютер под управлением ОС Linux. При этом получение информации о пропускаемых сервером сведений производится одним из методов:

  • перехватываются пакеты данных, которые принимает/отправляет сетевая карта, встроенная в сервер (с использованием библиотеки libpcap);

  • захватываются потоки, контролируемые встроенным брандмауэром;

  • используются сторонние средства (программы), преобразующие пакетную статистику в потоки суммарных данных netflow.

SWG

SWG (Secure Web Gateway — шлюз веб-безопасности) — комплексное аппаратно-программное решение, которое позволяет мониторить входящий и исходящий трафик в локальных сетях. Из базовых возможностей — выявление и предотвращение кибератак, отслеживание зашифрованных данных, формирование отчетности событий и т.д. На сегодняшний момент — оптимальный способ защитить локальную сеть компании от большинства угроз, включая утечку данных.

Библиотека libpcap

Контроль (мониторинг) трафика мультиплатформенным интерфейсом, основанным на библиотеке с открытым исходным кодом. Контролирует копии пакетов, которые пропускает сетевая карта. Объем захватываемой информации можно контролировать: например, если нужные сведения могут содержаться только в заголовках, длина пакета уменьшается. После анализа отправляет подозрительные данные для обработки специальными программами типа Wireshark.

Программное обеспечение

Разработчики ПО предлагают десятки платных и бесплатных программ, с помощью которых осуществляется контроль трафика ПК или локальной сети. Наибольший интерес представляют программные продукты, способные работать как самостоятельные решения, так и в виде элемента интеграции с DLP-системами.

Одним из таких решений является Solar Web Proxy — шлюз web-безопасности класса SWG (Secure Web Gateway), предназначенный для решения двух групп задач:

  • обеспечение информационной безопасности;

  • контроль деятельности и доступа сотрудников компании, организации к веб-ресурсам.

Программа обеспечивает защиту абонентов корпоративной сети от вредоносного ПО, блокирует рекламу, предоставляет возможность разделить ресурсы на категории и запретить/разрешить доступ к отдельным из них. Приложение не вступает в конфликты с другими средствами защиты (антивирусными программами, брандмауэрами), не нагружает чрезмерно аппаратные мощности ПК, серверов.

Solar Web Proxy ведет аналитику поведения сотрудников в Сети, составляет аналитические отчеты, поддерживает многофакторную идентификацию. Существенный плюс программы — возможность интеграции с российской DLP-системой Solar Dozor.

Как контролировать сетевой трафик

Контроль межсетевого трафика осуществляется принятием нескольких технических и организационных мер:

  • разработка, введение режима информационной безопасности, ознакомление с политикой сотрудников, проведение регулярных занятий и проверку знаний;

  • использование маршрутизаторов на базе ПК;

  • установка специального программного обеспечения, интегрированного с DLP-системой Solar Dozor.

Заключение

Контроль трафика компьютеров при помощи аппаратных, программных средств позволяет:

  • упорядочить работу персонала с веб-ресурсами, повысить производительность труда;

  • сократить до минимума количество сбоев оборудования и программного обеспечения;

  • повысить пропускную способность каналов связи;

  • выявить рабочие места с приоритетом доступа к широкополосному доступу к сети Интернет;

  • искоренить практику нецелевого использования сетевых ресурсов компании.