Согласно исследовательским данным, более 50% всего потока информационных данных в России приходилось на просмотр видео в режиме онлайн. Большинство случаев заражения компьютеров вредоносными программами происходит в результате посещения сайтов, никак не связанных с работой или любой другой полезной деятельностью. Эти и десятки других факторов негативно влияют на информационную безопасность компании, поскольку непосредственно связаны с деятельностью ее персонала. Контроль интернет-трафика — один из нескольких действенных инструментов, позволяющих упорядочить работу персонала и оборудования в сети Интернет.
Контроль трафика: что это такое?
Под контролем трафика понимают процесс анализа объема, содержания поступающих и исходящих пакетов данных, а также работоспособности программного обеспечения и сетевого оборудования.
Контроль трафика сети входит в обязанность системных администраторов локальных сетей, если штатное расписание компании содержит такую должность.
Для обмена информацией между двумя сетями, использующими разные протоколы связи, используют программные и/или аппаратные маршрутизаторы (сетевые шлюзы). Кроме основной функции — конвертации пакетов сведений для работы с новым протоколом — сетевой шлюз подсчитывает объем принятого/исходящего трафика. В большинстве случаев шлюзы комбинируют с сетевыми экранами (фаерволами) — программными или программно-аппаратными средствами, предназначенными для анализа и фильтрации информационных потоков.
Цели контроля трафика
Повышение производительности труда. Низкая само мотивация, неправильное распределение обязанностей, полное отсутствие контроля за деятельностью — начало списка причин снижения производительности. Работники организации или компании вместо работы просматривают видео (фильмы, сериалы, ролики), занимаются интернет-серфингом, скачивают большие объемы данных (те же видео), переписываются в соц. сетях, мессенджерах или играют в компьютерные игры. Эти занятия могут отнимать до 50-60% рабочего времени, т.е. Больше половины бюджета нанимателя на выплату заработной платы расходуется впустую.
Увеличение пропускной способности канала связи. Средняя по РФ скорость интернет-соединения 10-12 Мб/с — недостижимый показатель для районных городов, отдаленных регионов. В некоторых организациях доступ к Интернету осуществляется через мобильных операторов связи, которым крайне невыгодны безлимитные тарифы, самый “честный” из них, в лучшем случае снижает скорость в ночное время. Одновременный просмотр сериалов на 4-5 ПК из 15-20 серьезно ухудшает пропускные возможности роутера, затрудняя, например, участие руководителя в видеоконференции или онлайн-связь главного бухгалтера с представителем контролирующего органа. Контроль сетевого трафика позволяет установить, какое из рабочих мест нуждается в повышенной пропускной способности или увеличенном объеме трафика.
Проверка работоспособности сетевого оборудования или специального ПО. Сбои интернет-соединений, скачки в связи могут происходить из-за поломки сетевых плат, неверной настройки серверов после ремонта или обслуживания.
Обеспечение информационной безопасности. Ослабленный или отсутствующий контроль трафика интернета в локальной сети, на компьютере приводит к серьезным последствиям. Нарушители политики информационной безопасности часто заражают устройства вирусами, троянскими программами, снифферами и другим ПО, предназначенным для получения удаленного доступа к серверу, компьютерам, облачным хранилищам. При попытке проникнуть в сеть извне или записать на накопитель исполняемые вредоносные файлы сетевые экраны вовремя замечают подозрительную активность, не согласованную с разрешенными политиками, и подают сигнал администратору локальной сети.
Что нужно знать про сетевой трафик
С английского “traffic” переводится как грузооборот, движение. Под интернет-трафиком или сетевым трафиком понимают информационные потоки, которыми обмениваются между собой абоненты локальной сети и/или в Интернете. Измеряется пакетами или в килобайтах (кб), мегабайтах (Мб), гигабайтах (Гб), терабайтах (Тб). Различают несколько видов трафика:
-
по источнику поступлений;
-
по направлению пересылки пакетов.
В первом случае инфопотоки делятся на внешние, т.е. данными обмениваются абоненты в сети Интернет (интернет-трафик), и внутренние (источники — абоненты корпоративной сети). Исходящий трафик — данные поступают во внешнюю сеть, входящий — пакеты принимаются из внешней среды.
Источниками интернет-трафика являются:
прямые переходы на сайты в браузерах при введении адреса сайта;
переходы со ссылок в электронных письмах, через рекламные баннеры;
поисковые системы Google, Яндекс и т.п. (при формировании ответа на поисковые запросы пользователей);
Методы сбора трафика
Контроль трафика на компьютере (исходящих/входящих потоков данных) в компании можно несколькими методами, например, перехватывать пакеты прямо с ПК, используя маршрутизатор, VPN-сервер, или на сервере при помощи специального ПО.
Firewall
Фаервол (“огненная стена” с англ.) — сетевой экран, специальная программа, предназначенная для перехвата и анализа трафика, также известен всем пользователям ПК как брандмауэр. Если при настройке правильно сформулировать правила захвата и анализа (так называемые политики), экран способен эффективно предотвращать проникновение вредоносного ПО: вирусов, программ-шантажистов, кейлоггеров и т.п. Принцип работы: правильно настроенные правила поведения при получении подозрительного пакета направляют его в системные библиотеки, где с полученными сведения работает анализирующее приложение (набор приложений). При выявлении угроз пользователю компьютера предлагается поместить файл в карантин, уничтожить его или разрешить все действия.
Virtual Private Network (VPN)
Использование частной виртуальной сети в качестве сервера удаленного доступа позволяет использовать ее как компонент связки “узел-узел” для связи, например, “головной офис — филиал” или удаленного доступа через незащищенную точку (общественный Wi-Fi).
Принцип работы: роутер используется для маршрутизации исходящего/входящего трафика, а также в качестве VPN-сервера для декодирования, модуляции логических туннелей, которые передают пользовательские потоки данных.
Контроль трафика пользователей производится с помощью следующих протоколов:
-
PPTP — набор правил, обеспечивающий прием/передачу пакетов на высокой скорости. Высокая популярность и скорость нивелируются низкой надежностью;
-
OpenVPN — протокол с открытым исходным кодом, использующийся большинством VPN-сервисов. Обеспечивает хорошее сочетание скорость/надежность/защита, регулярно проверяется на уязвимости;
-
SSTP — собственная разработка Microsoft, рекомендуется для работы на устройствах под управлением ОС Windows;
-
L2TP/IPSec — сервисы часто применяют протокол для замены OpenVPN. Не рекомендуется из-за высокой уязвимости.
Маршрутизаторы
В качестве маршрутизатора используют персональный компьютер под управлением ОС Linux. При этом получение информации о пропускаемых сервером сведений производится одним из методов:
-
перехватываются пакеты данных, которые принимает/отправляет сетевая карта, встроенная в сервер (с использованием библиотеки libpcap);
-
захватываются потоки, контролируемые встроенным брандмауэром;
-
используются сторонние средства (программы), преобразующие пакетную статистику в потоки суммарных данных netflow.
SWG
SWG (Secure Web Gateway — шлюз веб-безопасности) — комплексное аппаратно-программное решение, которое позволяет мониторить входящий и исходящий трафик в локальных сетях. Из базовых возможностей — выявление и предотвращение кибератак, отслеживание зашифрованных данных, формирование отчетности событий и т.д. На сегодняшний момент — оптимальный способ защитить локальную сеть компании от большинства угроз, включая утечку данных.
Библиотека libpcap
Контроль (мониторинг) трафика мультиплатформенным интерфейсом, основанным на библиотеке с открытым исходным кодом. Контролирует копии пакетов, которые пропускает сетевая карта. Объем захватываемой информации можно контролировать: например, если нужные сведения могут содержаться только в заголовках, длина пакета уменьшается. После анализа отправляет подозрительные данные для обработки специальными программами типа Wireshark.
Программное обеспечение
Разработчики ПО предлагают десятки платных и бесплатных программ, с помощью которых осуществляется контроль трафика ПК или локальной сети. Наибольший интерес представляют программные продукты, способные работать как самостоятельные решения, так и в виде элемента интеграции с DLP-системами.
Одним из таких решений является Solar Web Proxy — шлюз web-безопасности класса SWG (Secure Web Gateway), предназначенный для решения двух групп задач:
-
обеспечение информационной безопасности;
-
контроль деятельности и доступа сотрудников компании, организации к веб-ресурсам.
Программа обеспечивает защиту абонентов корпоративной сети от вредоносного ПО, блокирует рекламу, предоставляет возможность разделить ресурсы на категории и запретить/разрешить доступ к отдельным из них. Приложение не вступает в конфликты с другими средствами защиты (антивирусными программами, брандмауэрами), не нагружает чрезмерно аппаратные мощности ПК, серверов.
Solar Web Proxy ведет аналитику поведения сотрудников в Сети, составляет аналитические отчеты, поддерживает многофакторную идентификацию. Существенный плюс программы — возможность интеграции с российской DLP-системой Solar Dozor.
Как контролировать сетевой трафик
Контроль межсетевого трафика осуществляется принятием нескольких технических и организационных мер:
-
разработка, введение режима информационной безопасности, ознакомление с политикой сотрудников, проведение регулярных занятий и проверку знаний;
-
использование маршрутизаторов на базе ПК;
-
установка специального программного обеспечения, интегрированного с DLP-системой Solar Dozor.
Заключение
Контроль трафика компьютеров при помощи аппаратных, программных средств позволяет:
-
упорядочить работу персонала с веб-ресурсами, повысить производительность труда;
-
сократить до минимума количество сбоев оборудования и программного обеспечения;
-
повысить пропускную способность каналов связи;
-
выявить рабочие места с приоритетом доступа к широкополосному доступу к сети Интернет;
-
искоренить практику нецелевого использования сетевых ресурсов компании.