Principes d'organisation de la comptabilité du trafic IP. Comment contrôler le trafic

Programmes utiles

Instructions

En règle générale, les données sont obtenues de deux manières : par connexion directe à un ordinateur distant, grâce à laquelle le pirate informatique a la possibilité de visualiser les dossiers de l'ordinateur et de copier les informations dont il a besoin, et en utilisant des chevaux de Troie. Détecter le fonctionnement d’un cheval de Troie écrit par des professionnels est très difficile. Mais il n'y a pas tellement de programmes de ce type, donc dans la plupart des cas, l'utilisateur remarque des bizarreries dans le fonctionnement de l'ordinateur, indiquant qu'il est infecté. Par exemple, les tentatives de connexion au réseau, l'activité réseau floue lorsque vous n'ouvrez aucune page, etc. et ainsi de suite.

Dans toutes ces situations, il est nécessaire de surveiller le trafic ; pour cela, vous pouvez utiliser les outils Windows standard. Ouvrez la ligne de commande : « Démarrer » - « Tous les programmes » - « Accessoires » - « Invite de commandes ». Vous pouvez l'ouvrir comme ceci : « Démarrer » - « Exécuter », puis entrez la commande cmd et appuyez sur Entrée. Une fenêtre noire s'ouvrira, c'est la ligne de commande (console).

Tapez netstat –aon à l’invite de commande et appuyez sur Entrée. Une liste de connexions apparaîtra indiquant les adresses IP auxquelles votre ordinateur se connecte. Dans la colonne « Statut », vous pouvez voir l'état de la connexion - par exemple, la ligne ESTABLISHED indique que cette connexion est active, c'est-à-dire présente pour le moment. La colonne « Adresse externe » indique l'adresse IP de l'ordinateur distant. Dans la colonne « Adresse locale », vous trouverez des informations sur les ports ouverts sur votre ordinateur via lesquels les connexions sont établies.

Faites attention à la dernière colonne - PID. Il montre les identifiants attribués par le système aux processus en cours. Ils sont très utiles pour trouver l’application responsable des connexions qui vous intéressent. Par exemple, vous voyez que vous disposez d’une connexion via un port. N'oubliez pas le PID, puis dans la même fenêtre de ligne de commande, tapez tasklist et appuyez sur Entrée. Une liste de processus apparaît, sa deuxième colonne contient des identifiants. Après avoir trouvé l'identifiant déjà familier, vous pouvez facilement déterminer quelle application a établi cette connexion. Si le nom du processus ne vous est pas familier, saisissez-le dans un moteur de recherche, vous recevrez immédiatement toutes les informations nécessaires le concernant.

Pour surveiller le trafic, vous pouvez également utiliser des programmes spéciaux, par exemple BWMeter. L'utilitaire est utile car il peut contrôler complètement le trafic, en indiquant les adresses auxquelles votre ordinateur se connecte. N'oubliez pas que s'il est configuré correctement, il ne doit pas accéder au réseau lorsque vous n'utilisez pas Internet, même si le navigateur est en cours d'exécution. Dans une situation où l'indicateur de connexion dans le bac signale en permanence l'activité du réseau, vous devez rechercher l'application responsable de la connexion.

Les ordinateurs sont connectés entre eux via des réseaux externes ou internes. Grâce à cela, les utilisateurs peuvent partager des informations entre eux, même sur des continents différents.

Logiciel de contrôle du trafic au bureau

Grâce à ICS, vous pouvez facilement contrôler la comptabilité du trafic et sa répartition entre les utilisateurs, influencer la capacité de connexion aux ressources Internet à votre discrétion et assurer la sécurité de votre réseau interne.

Logiciel de contrôle du trafic scolaire

ICS est une passerelle Internet universelle dotée d'outils pour protéger un réseau éducatif, comptabiliser le trafic, contrôler l'accès et déployer un serveur de messagerie, un proxy et un serveur de fichiers.

Logiciel de contrôle du trafic domestique

ICS Lite est une passerelle Internet gratuite qui répond à tous vos besoins Internet à la maison. ICS Lite est une version complète d'Internet Control Server, qui comprend une licence pour 8 utilisateurs.


Types de réseaux

  • Maison - combinez des ordinateurs dans un appartement ou une maison.
  • Corporate - connectez les machines de travail de l'entreprise.
  • Les réseaux locaux disposent souvent d'une infrastructure fermée.
  • Global : connecte des régions entières et peut inclure des réseaux locaux.

Les avantages d’une telle communication sont énormes : les spécialistes gagnent du temps et les factures de téléphone sont réduites. Et tous ces avantages peuvent être réduits à néant si la sécurité n’est pas assurée à temps.

Les entreprises qui ne connaissent pas le concept de « contrôle du trafic » subissent d'énormes pertes ou limitent complètement l'accès à l'information. Il existe un moyen plus simple de sauvegarder en toute sécurité : un programme de surveillance du trafic sur le réseau local.

Suivi du trafic

Il est important qu'un dirigeant sache comment les fonds de l'entreprise sont dépensés. L’administrateur système est donc chargé, entre autres, de surveiller le trafic réseau au bureau. Des statistiques sont collectées non seulement sur le volume, mais également sur le contenu des informations transmises.

Pourquoi avez-vous besoin d’un contrôle de réseau local ? Bien que la réponse à cette question soit évidente, de nombreux administrateurs système ne peuvent justifier la nécessité de contrôler la consommation du trafic Internet.

Avantages pour le gestionnaire

Programme de contrôle de la circulation :

  • optimise le fonctionnement du réseau - en économisant le temps de travail des spécialistes, la productivité du travail augmente ;
  • montre la répartition du trafic par utilisateurs - permet de savoir qui a besoin des ressources Internet ;
  • montre à quelles fins le trafic a été dépensé - élimine les accès inappropriés.

Avantages pour l'administrateur système

Surveiller le trafic sur un réseau local vous permet de :

  • limiter l'accès des utilisateurs aux informations indésirables ;
  • recevez rapidement des données sur le volume du trafic - en évitant la congestion du réseau ;
  • empêcher les virus de pénétrer dans le réseau et identifier les contrevenants à la sécurité.

Options de mise en œuvre du contrôle

La surveillance du trafic Internet sur un réseau d'entreprise peut être organisée de plusieurs manières :

  1. Achetez un pare-feu avec la capacité de différencier le trafic.
  2. Configurez des serveurs proxy avec des pilotes NAT avec des fonctions de comptabilité du trafic.
  3. Utilisez différents types de modules complémentaires.

Seule une solution globale peut offrir une protection maximale. Internet Control Server offre un contrôle complet du trafic et offre toutes les fonctionnalités nécessaires. ICS est un routeur avec un serveur proxy intégré fonctionnant sous FreeBSD.

Avantages du SCI

  1. Des études statistiques ont révélé que les salariés consacrent 1/3 de leur temps de travail à accéder à Internet à des fins personnelles. Une passerelle Internet ICS spéciale aidera à empêcher tout accès non autorisé.
  2. Le système de surveillance de la consommation de trafic conserve des enregistrements sur tous les systèmes d'exploitation des utilisateurs.
  3. ICS offre des paramètres flexibles.
  4. Prépare des rapports détaillés sous une forme pratique.

Télécharger gratuitement!

Commencez dès maintenant - téléchargez la version démo du programme de surveillance du trafic Internet depuis notre site Web. Vous pourrez utiliser toutes les fonctionnalités de notre solution sans restrictions pendant 35 jours ! Après la fin de la période de test, il vous suffit d'acheter la version complète en passant commande ou en contactant nos responsables.

Type d'organisation

Sélectionnez le type d'organisation Établissement d'enseignement Institution budgétaire Organisation commerciale

Les prix NE S'APPLIQUENT PAS aux institutions privées non étatiques et aux établissements de formation professionnelle postuniversitaire.

éditions ICS

Aucun ICS requis ICS standard FSTEC

Pour calculer le coût du FSTEC, contactez le service commercial

Type de livraison

ICS ICS + SkyDNS ICS + Filtrage Web Kaspersky

Type de licence

Nouvelle licence Mettre à jour la licence

Extension de licence de licence de mise à jour Premium

nombre d'utilisateurs

Extension de licence

C avant utilisateurs

Les utilisateurs qui ne parviennent pas à se connecter à Internet illimité s’intéressent avant tout à la consommation de trafic. Le trafic est contrôlé par des programmes spéciaux ou à l'aide des capacités de Windows.

Windows 8 vous permet de contrôler le trafic sans utiliser de programmes supplémentaires. Pour activer le compteur de trafic, recherchez l'icône de connexion réseau dans la barre des tâches. Après avoir cliqué sur l'icône, la fenêtre « Réseaux » s'ouvrira. Sélectionnez la connexion active et cliquez avec le bouton droit. Dans la fenêtre qui apparaît, sur la première ligne, vous verrez « Afficher les informations sur l'utilisation prévue ». Activez cet élément et à l'avenir, lorsque vous ouvrirez la fenêtre « Réseaux », vous verrez des statistiques sur les volumes utilisés. Dans les produits Windows antérieurs - 7 ou XP, le processus de vérification du trafic est effectué un peu différemment. Après vous être connecté à Internet, faites également un clic gauche sur l'icône de connexion et sélectionnez le réseau actif. Utilisez le bouton droit pour accéder à « Statut ». Ici, vous verrez le volume du trafic entrant et sortant, affiché en octets.


Vous pouvez contrôler le trafic à l'aide du programme gratuit Networx 5.3.2. Le programme prend en charge tout type de connexion - filaire, câble, Internet mobile. Networx affiche le trafic entrant et sortant. Vous pouvez consulter les statistiques de la période qui vous intéresse, ainsi que surveiller la vitesse de votre connexion Internet. Le programme vous permet de vérifier la quantité de trafic consommée par chaque application.


Le programme Networx commence à compter votre trafic Internet dès l'installation. Vous pouvez configurer le programme pour que l'activité du trafic soit visible dans l'icône de la barre d'état. Via les paramètres, ouvrez l'onglet « Trafic », puis marquez les options nécessaires, comme indiqué sur la photo, et enregistrez les actions terminées.


Vous pouvez également définir un quota. Pour ce faire, sélectionnez le type de quota, le trafic, les heures et les unités de mesure. Après avoir défini la taille du quota, cliquez sur « OK ». Lorsque la consommation de trafic approche du seuil limite, le programme vous en avertit. Cela évitera les dépassements de trafic.


Le contrôle du trafic sur les appareils mobiles dépend du système de l'appareil. Par exemple, le système Android est capable de compter le trafic entrant et sortant. Pour ce faire, vous devez sélectionner « Transfert de données » dans les paramètres et sélectionner un opérateur télécom. Une fenêtre s'ouvrira affichant les données sur le trafic entrant et sortant. En plus de vérifier le volume, vous pouvez définir une limite d'utilisation du trafic.


Contrôler la consommation de trafic vous aidera à éviter des dépenses inutiles. Même si vous utilisez Internet illimité, vérifiez périodiquement l'activité de votre réseau. Une consommation de trafic en forte augmentation indique qu'un virus ou un cheval de Troie a élu domicile dans le système.

Cet article examinera les solutions logicielles qui vous aideront à contrôler votre trafic. Grâce à eux, vous pouvez voir un récapitulatif de la consommation de connexion Internet d'un processus particulier et limiter sa priorité. Il n'est pas nécessaire de visualiser les rapports enregistrés sur un PC avec un logiciel spécial installé dans le système d'exploitation - cela peut être fait à distance. Ce ne sera pas un problème de connaître le coût des ressources consommées et bien plus encore.

Logiciel de SoftPerfect Research qui vous permet de contrôler le trafic consommé. Le programme fournit des paramètres supplémentaires qui permettent de voir des informations sur les mégaoctets consommés pour un jour ou une semaine spécifique, les heures de pointe et hors pointe. Il est possible de voir des indicateurs de vitesse entrante et sortante, des données reçues et envoyées.

L'outil sera particulièrement utile dans les cas où la 3G ou le LTE avec compteur est utilisé et, par conséquent, des restrictions sont requises. Si vous possédez plusieurs comptes, des statistiques sur chaque utilisateur individuel seront affichées.

DU Mètre

Une application pour suivre la consommation des ressources du World Wide Web. Dans la zone de travail, vous verrez les signaux entrants et sortants. En vous connectant au compte de service dumeter.net proposé par le développeur, vous pourrez collecter des statistiques sur l'utilisation des flux d'informations provenant d'Internet depuis tous les PC. Des paramètres flexibles vous aideront à filtrer le flux et à envoyer des rapports par courrier électronique.

Les paramètres vous permettent de spécifier des restrictions lors de l'utilisation d'une connexion au World Wide Web. De plus, vous pouvez préciser le coût du package de services fourni par votre fournisseur. Il existe un manuel d'utilisation dans lequel vous trouverez des instructions pour utiliser les fonctionnalités existantes du programme.

Moniteur de trafic réseau

Un utilitaire qui affiche des rapports d'utilisation du réseau avec un ensemble d'outils simples sans nécessiter d'installation préalable. La fenêtre principale affiche des statistiques et un résumé de la connexion ayant accès à Internet. L'application peut bloquer le flux et le limiter, permettant à l'utilisateur de spécifier ses propres valeurs. Dans les paramètres, vous pouvez réinitialiser l'historique enregistré. Il est possible d'enregistrer les statistiques existantes dans un fichier journal. Un arsenal de fonctionnalités nécessaires vous aidera à enregistrer les vitesses de téléchargement et de téléchargement.

Moniteur de trafic

L'application est une excellente solution pour contrer le flux d'informations provenant du réseau. Il existe de nombreux indicateurs qui montrent la quantité de données consommées, la sortie, la vitesse, les valeurs maximales et moyennes. Les paramètres du logiciel vous permettent de déterminer le coût des volumes d'informations actuellement utilisés.

Les rapports générés contiendront une liste d'actions liées à la connexion. Le graphique est affiché dans une fenêtre séparée et l'échelle est affichée en temps réel ; vous la verrez au-dessus de tous les programmes dans lesquels vous travaillez. La solution est gratuite et dispose d'une interface en russe.

NetLimiter

Le programme a un design moderne et des fonctionnalités puissantes. Ce qui le rend spécial est qu'il fournit des rapports qui fournissent un résumé de la consommation de trafic de chaque processus exécuté sur le PC. Les statistiques sont parfaitement triées par différentes périodes, et il sera donc très facile de trouver la période souhaitée.

Si NetLimiter est installé sur un autre ordinateur, vous pouvez vous y connecter et contrôler son pare-feu et d'autres fonctions. Pour automatiser les processus au sein de l'application, des règles créées par l'utilisateur sont utilisées. Dans le planificateur, vous pouvez créer vos propres limites lors de l'utilisation des services d'un fournisseur, ainsi que bloquer l'accès aux réseaux mondiaux et locaux.

DUTrafic

La particularité de ce logiciel est qu'il affiche des statistiques avancées. Il contient des informations sur la connexion à partir de laquelle l'utilisateur est entré dans l'espace global, les sessions et leur durée, ainsi que la durée d'utilisation et bien plus encore. Tous les rapports sont accompagnés d'informations sous forme de diagramme mettant en avant la durée de consommation du trafic dans le temps. Dans les paramètres, vous pouvez personnaliser presque tous les éléments de conception.

Le graphique affiché dans une zone spécifique est mis à jour seconde par seconde. Malheureusement, l'utilitaire n'est pas pris en charge par le développeur, mais possède une langue d'interface russe et est distribué gratuitement.

BWMomètre

Le programme surveille le téléchargement et la vitesse de la connexion existante. L'utilisation de filtres affiche une alerte si les processus du système d'exploitation consomment des ressources réseau. Différents filtres sont utilisés pour résoudre de nombreux problèmes différents. L'utilisateur pourra personnaliser entièrement les graphiques affichés à sa discrétion.

Entre autres choses, l'interface affiche la durée de consommation du trafic, la vitesse de réception et de téléchargement, ainsi que les valeurs minimales et maximales. L'utilitaire peut être configuré pour afficher des alertes lorsque des événements tels que le nombre de mégaoctets téléchargés et le temps de connexion se produisent. En entrant l'adresse du site dans la ligne appropriée, vous pouvez vérifier son ping et le résultat est écrit dans un fichier journal.

Bitmètre II

Une solution permettant de fournir une synthèse de l'utilisation des services du fournisseur. Les données sont disponibles sous forme de tableaux et de graphiques. Les paramètres configurent des alertes pour les événements liés à la vitesse de connexion et au flux consommé. Pour faciliter l'utilisation, BitMeter II vous permet de calculer le temps nécessaire pour télécharger la quantité de données que vous saisissez en mégaoctets.

La fonctionnalité vous permet de déterminer la quantité de volume disponible restant fournie par le fournisseur, et lorsque la limite est atteinte, un message à ce sujet s'affiche dans la barre des tâches. De plus, le téléchargement peut être limité dans l'onglet paramètres, et vous pouvez également suivre les statistiques à distance en mode navigateur.

Les produits logiciels présentés seront indispensables pour surveiller la consommation des ressources Internet. La fonctionnalité des applications vous aidera à créer des rapports détaillés, et les rapports envoyés par e-mail pourront être consultés à tout moment.

Tout administrateur reçoit tôt ou tard des instructions de la direction : « comptez qui se connecte et combien ils téléchargent ». Pour les prestataires, cela est complété par les tâches consistant à « laisser entrer quiconque en a besoin, accepter le paiement, limiter l’accès ». Que faut-il compter ? Comment? Où? Il y a beaucoup d’informations fragmentaires, elles ne sont pas structurées. Nous éviterons à l'administrateur novice des recherches fastidieuses en lui fournissant des connaissances générales et des liens utiles vers le matériel.
Dans cet article je vais tenter de décrire les principes d'organisation de la collecte, de la comptabilité et du contrôle du trafic sur le réseau. Nous examinerons le problème et énumérerons les moyens possibles de récupérer des informations à partir des périphériques réseau.

Il s'agit du premier article théorique d'une série d'articles consacrés à la collecte, à la comptabilité, à la gestion et à la facturation du trafic et des ressources informatiques.

Structure d'accès à Internet

En général, la structure d'accès au réseau ressemble à ceci :
  • Ressources externes - Internet, avec tous les sites, serveurs, adresses et autres éléments n'appartenant pas au réseau que vous contrôlez.
  • Périphérique d'accès – routeur (matériel ou basé sur PC), commutateur, serveur VPN ou concentrateur.
  • Les ressources internes sont un ensemble d'ordinateurs, de sous-réseaux, d'abonnés dont le fonctionnement sur le réseau doit être pris en compte ou contrôlé.
  • Un serveur de gestion ou de comptabilité est un appareil sur lequel s'exécute un logiciel spécialisé. Peut être fonctionnellement combiné avec un routeur logiciel.
Dans cette structure, le trafic réseau passe des ressources externes aux ressources internes, et inversement, via le périphérique d'accès. Il transmet les informations de trafic au serveur de gestion. Le serveur de contrôle traite ces informations, les stocke dans la base de données, les affiche et émet des commandes de blocage. Cependant, toutes les combinaisons de dispositifs d’accès (méthodes) et de méthodes de collecte et de contrôle ne sont pas compatibles. Les différentes options seront discutées ci-dessous.

Trafic réseau

Tout d’abord, vous devez définir ce que l’on entend par « trafic réseau » et quelles informations statistiques utiles peuvent être extraites du flux de données utilisateur.
Le protocole d’interconnexion dominant est toujours IP version 4. Le protocole IP correspond à la couche 3 du modèle OSI (L3). Les informations (données) entre l'expéditeur et le destinataire sont regroupées en paquets comportant un en-tête et une « charge utile ». L'en-tête détermine la provenance et la destination du paquet (adresses IP de l'expéditeur et du destinataire), la taille du paquet et le type de charge utile. La majeure partie du trafic réseau est constituée de paquets avec des charges utiles UDP et TCP - ce sont des protocoles de couche 4 (L4). En plus des adresses, l'en-tête de ces deux protocoles contient des numéros de port, qui déterminent le type de service (application) transmettant les données.

Pour transmettre un paquet IP par fil (ou radio), les périphériques réseau sont obligés de « l'envelopper » (l'encapsuler) dans un paquet de protocole de couche 2 (L2). Le protocole de ce type le plus courant est Ethernet. La transmission proprement dite « au fil » se produit au 1er niveau. Généralement, le périphérique d'accès (routeur) n'analyse pas les en-têtes de paquets aux niveaux supérieurs au niveau 4 (à l'exception des pare-feu intelligents).
Les informations provenant des champs d'adresses, de ports, de protocoles et de compteurs de longueur des en-têtes L3 et L4 des paquets de données constituent la « matière première » utilisée dans la comptabilité et la gestion du trafic. La quantité réelle d'informations transmises se trouve dans le champ Longueur de l'en-tête IP (y compris la longueur de l'en-tête lui-même). À propos, en raison de la fragmentation des paquets due au mécanisme MTU, le volume total des données transmises est toujours supérieur à la taille de la charge utile.

La longueur totale des champs IP et TCP/UDP du paquet qui nous intéressent dans ce contexte est de 2...10% de la longueur totale du paquet. Si vous traitez et stockez toutes ces informations lot par lot, il n’y aura pas suffisamment de ressources. Heureusement, la grande majorité du trafic est structurée pour consister en une série de « conversations » entre des périphériques réseau externes et internes, appelées « flux ». Par exemple, dans le cadre d'une opération d'envoi d'un email (protocole SMTP), une session TCP est ouverte entre le client et le serveur. Il se caractérise par un ensemble constant de paramètres (adresse IP source, port TCP source, adresse IP de destination, port TCP de destination). Au lieu de traiter et de stocker des informations paquet par paquet, il est beaucoup plus pratique de stocker les paramètres de flux (adresses et ports), ainsi que des informations supplémentaires - le nombre et la somme des longueurs de paquets transmis dans chaque sens, éventuellement la durée de la session, l'interface du routeur. index, valeur du champ ToS, etc. Cette approche est avantageuse pour les protocoles orientés connexion (TCP), où il est possible d'intercepter explicitement la fin d'une session. Cependant, même pour les protocoles non orientés session, il est possible d'effectuer une agrégation et une complétion logique d'un enregistrement de flux sur la base, par exemple, d'un délai d'attente. Vous trouverez ci-dessous un extrait de la base de données SQL de notre propre système de facturation, qui enregistre des informations sur les flux de trafic :

Il est nécessaire de noter le cas où le périphérique d'accès effectue une traduction d'adresse (NAT, masquage) pour organiser l'accès à Internet pour les ordinateurs du réseau local en utilisant une adresse IP publique externe. Dans ce cas, un mécanisme spécial remplace les adresses IP et les ports TCP/UDP des paquets de trafic, remplaçant les adresses internes (non routables sur Internet) selon sa table de traduction dynamique. Dans cette configuration, il faut se rappeler que pour enregistrer correctement les données sur les hôtes du réseau interne, les statistiques doivent être collectées de manière et à un endroit où le résultat de la traduction n'anonymise pas encore les adresses internes.

Méthodes de collecte d’informations sur le trafic/statistiques

Vous pouvez capturer et traiter les informations sur le passage du trafic directement sur le périphérique d'accès lui-même (routeur PC, serveur VPN), en les transférant de cet appareil vers un serveur distinct (NetFlow, SNMP) ou « depuis le fil » (tap, SPAN). Examinons toutes les options dans l'ordre.
Routeur PC
Considérons le cas le plus simple : un périphérique d'accès (routeur) basé sur un PC exécutant Linux.

Comment mettre en place un tel serveur, traduction d'adresses et routage, beaucoup de choses ont été écrites. Nous nous intéressons à la prochaine étape logique : des informations sur la manière d'obtenir des informations sur le trafic transitant par un tel serveur. Il existe trois méthodes courantes :

  • intercepter (copier) les paquets transitant par la carte réseau du serveur à l'aide de la bibliothèque libpcap
  • intercepter les paquets passant à travers le pare-feu intégré
  • utiliser des outils tiers pour convertir les statistiques paquet par paquet (obtenues par l'une des deux méthodes précédentes) en un flux d'informations agrégé netflow
Libpcap


Dans le premier cas, une copie du paquet transitant par l'interface, après passage au filtre (man pcap-filter), peut être demandée par un programme client sur le serveur écrit à l'aide de cette bibliothèque. Le paquet arrive avec un en-tête de couche 2 (Ethernet). Il est possible de limiter la longueur des informations capturées (si l'on s'intéresse uniquement aux informations de son en-tête). Des exemples de tels programmes sont tcpdump et Wireshark. Il existe une implémentation de libpcap pour Windows. Si la traduction d'adresses est utilisée sur un routeur PC, une telle interception ne peut être effectuée que sur son interface interne connectée aux utilisateurs locaux. Sur l'interface externe, après traduction, les paquets IP ne contiennent pas d'informations sur les hôtes internes du réseau. Cependant, avec cette méthode, il est impossible de prendre en compte le trafic généré par le serveur lui-même sur Internet (ce qui est important s'il exécute un service web ou de messagerie).

libpcap nécessite le support du système d'exploitation, ce qui revient actuellement à installer une seule bibliothèque. Dans ce cas, le programme d'application (utilisateur) qui collecte les packages doit :

  • ouvrez l'interface requise
  • spécifier le filtre à travers lequel passer les paquets reçus, la taille de la partie capturée (snaplen), la taille du tampon,
  • définir le paramètre promisc, qui met l'interface réseau en mode capture pour tous les paquets qui passent, et pas seulement ceux adressés à l'adresse MAC de cette interface
  • définir une fonction (callback) appelée sur chaque paquet reçu.

Lorsqu'un paquet est transmis via l'interface sélectionnée, après avoir passé le filtre, cette fonction reçoit un tampon contenant Ethernet, (VLAN), IP, etc. en-têtes, taille totale jusqu'à snaplen. Puisque la bibliothèque libcap copie les paquets, elle ne peut pas être utilisée pour bloquer leur passage. Dans ce cas, le programme de collecte et de traitement du trafic devra utiliser des méthodes alternatives, comme appeler un script pour placer une adresse IP donnée dans une règle de blocage du trafic.

Pare-feu


La capture des données transitant par le pare-feu permet de prendre en compte à la fois le trafic du serveur lui-même et celui des utilisateurs du réseau, même lorsque la traduction d'adresses est en cours. L'essentiel dans ce cas est de formuler correctement la règle de capture et de la placer au bon endroit. Cette règle active le transfert du paquet vers la bibliothèque système, d'où l'application de comptabilité et de gestion du trafic peut le recevoir. Pour le système d'exploitation Linux, iptables est utilisé comme pare-feu et les outils d'interception sont ipq, netfliter_queue ou ulog. Pour OC FreeBSD – ipfw avec des règles comme tee ou détour. Dans tous les cas, le mécanisme de pare-feu est complété par la possibilité de travailler avec un programme utilisateur de la manière suivante :
  • Un programme utilisateur - un gestionnaire de trafic - s'enregistre dans le système à l'aide d'un appel système ou d'une bibliothèque.
  • Un programme utilisateur ou un script externe installe une règle dans le pare-feu, « encapsulant » le trafic sélectionné (selon la règle) à l'intérieur du gestionnaire.
  • Pour chaque paquet transmis, le gestionnaire reçoit son contenu sous la forme d'un tampon mémoire (avec en-têtes IP, etc. Après le traitement (comptabilité), le programme doit également indiquer au noyau du système d'exploitation quoi faire ensuite avec un tel paquet - jetez-le ou le transmettre. Alternativement, il est possible de transmettre le paquet modifié au noyau.

Étant donné que le paquet IP n'est pas copié, mais envoyé au logiciel pour analyse, il devient possible de « l'éjecter », et donc de restreindre totalement ou partiellement le trafic d'un certain type (par exemple, vers un abonné du réseau local sélectionné). Cependant, si le programme d'application cesse de répondre au noyau concernant sa décision (bloqué, par exemple), le trafic via le serveur est simplement bloqué.
Il convient de noter que les mécanismes décrits, avec des volumes importants de trafic transmis, créent une charge excessive sur le serveur, associée à la copie constante des données du noyau vers le programme utilisateur. La méthode de collecte de statistiques au niveau du noyau du système d'exploitation, avec sortie de statistiques agrégées vers le programme d'application via le protocole NetFlow, ne présente pas cet inconvénient.

Flux net
Ce protocole a été développé par Cisco Systems pour exporter les informations de trafic des routeurs à des fins de comptabilité et d'analyse du trafic. La version 5 la plus populaire fournit désormais au destinataire un flux de données structurées sous forme de paquets UDP contenant des informations sur le trafic passé sous la forme de ce que l'on appelle des enregistrements de flux :

La quantité d'informations sur le trafic est plusieurs fois inférieure au trafic lui-même, ce qui est particulièrement important dans les réseaux étendus et distribués. Bien entendu, il est impossible de bloquer le transfert d'informations lors de la collecte de statistiques via netflow (sauf si des mécanismes supplémentaires sont utilisés).
Actuellement, un développement ultérieur de ce protocole devient populaire - la version 9, basée sur la structure d'enregistrement de flux modèle, implémentée pour les appareils d'autres fabricants (sFlow). Récemment, la norme IPFIX a été adoptée, qui permet de transmettre des statistiques via des protocoles à des niveaux plus profonds (par exemple, par type d'application).
L'implémentation des sources netflow (agents, sondes) est disponible pour les routeurs PC, à la fois sous forme d'utilitaires fonctionnant selon les mécanismes décrits ci-dessus (flowprobe, softflowd), et directement intégrés au noyau de l'OS (FreeBSD : ng_netgraph, Linux :) . Pour les routeurs logiciels, le flux de statistiques netflow peut être reçu et traité localement sur le routeur lui-même, ou envoyé via le réseau (protocole de transfert - via UDP) au périphérique de réception (collecteur).


Le programme collecteur peut collecter des informations provenant de plusieurs sources à la fois, étant capable de distinguer leur trafic même avec des espaces d'adressage qui se chevauchent. En utilisant des outils supplémentaires tels que nprobe, il est également possible d'effectuer une agrégation de données supplémentaire, une bifurcation de flux ou une conversion de protocole, ce qui est important lors de la gestion d'un réseau vaste et distribué avec des dizaines de routeurs.

Les fonctions d'exportation Netflow prennent en charge les routeurs de Cisco Systems, Mikrotik et quelques autres. Une fonctionnalité similaire (avec d’autres protocoles d’exportation) est prise en charge par tous les principaux fabricants d’équipements réseau.

Libpcap « dehors »
Compliquons un peu la tâche. Que se passe-t-il si votre périphérique d'accès est un routeur matériel d'un autre fabricant ? Par exemple, D-Link, ASUS, Trendnet, etc. Il est très probablement impossible d'y installer un logiciel d'acquisition de données supplémentaire. Alternativement, vous disposez d’un périphérique d’accès intelligent, mais il n’est pas possible de le configurer (vous n’avez pas de droits ou il est contrôlé par votre fournisseur). Dans ce cas, vous pouvez collecter des informations sur le trafic directement au point où le périphérique d'accès rencontre le réseau interne, à l'aide d'outils de copie de paquets « matériels ». Dans ce cas, vous aurez certainement besoin d'un serveur séparé avec une carte réseau dédiée pour recevoir des copies des paquets Ethernet.
Le serveur doit utiliser le mécanisme de collecte de paquets utilisant la méthode libpcap décrite ci-dessus, et notre tâche est de soumettre un flux de données identique à celui provenant du serveur d'accès à l'entrée de la carte réseau dédiée à cet effet. Pour cela vous pouvez utiliser :
  • Ethernet - hub : un appareil qui transmet simplement les paquets entre tous ses ports sans discernement. Dans les réalités modernes, on peut le trouver quelque part dans un entrepôt poussiéreux, et l'utilisation de cette méthode n'est pas recommandée : peu fiable, faible vitesse (il n'y a pas de hubs avec une vitesse de 1 Gbit/s)
  • Ethernet - un commutateur avec la possibilité de mettre en miroir (mise en miroir, ports SPAN. Les commutateurs intelligents modernes (et coûteux) vous permettent de copier tout le trafic (entrant, sortant, les deux) d'une autre interface physique, VLAN, y compris distante (RSPAN) vers une interface spécifiée. port
  • Répartiteur matériel, qui peut nécessiter l'installation de deux cartes réseau au lieu d'une pour la collecte - et cela s'ajoute à la carte principale du système.


Naturellement, vous pouvez configurer un port SPAN sur le périphérique d'accès lui-même (routeur), s'il le permet - Cisco Catalyst 6500, Cisco ASA. Voici un exemple d'une telle configuration pour un commutateur Cisco :
surveiller la session 1 source vlan 100 ! d'où récupère-t-on les colis ?
surveiller la session 1 interface de destination Gi6/3 ! où délivrons-nous les colis ?

SNMP
Et si nous n’avons pas de routeur sous notre contrôle, que nous ne voulons pas contacter netflow, que les détails du trafic de nos utilisateurs ne nous intéressent pas. Ils sont simplement connectés au réseau via un commutateur géré, et il suffit d'estimer approximativement la quantité de trafic allant vers chacun de ses ports. Comme vous le savez, les périphériques réseau prennent en charge le contrôle à distance et peuvent afficher des compteurs de paquets (octets) passant par les interfaces réseau. Pour les interroger, il serait correct d'utiliser le protocole standardisé de gestion à distance SNMP. En l'utilisant, vous pouvez assez facilement obtenir non seulement les valeurs des compteurs spécifiés, mais également d'autres paramètres, tels que le nom et la description de l'interface, les adresses MAC visibles à travers celle-ci et d'autres informations utiles. Cela se fait à la fois par des utilitaires de ligne de commande (snmpwalk), des navigateurs graphiques SNMP et des programmes de surveillance de réseau plus complexes (rrdtools, cactus, zabbix, whats up gold, etc.). Cependant, cette méthode présente deux inconvénients majeurs :
  • Le blocage du trafic ne peut être effectué qu'en désactivant complètement l'interface, en utilisant le même SNMP
  • les compteurs de trafic pris via SNMP font référence à la somme des longueurs des paquets Ethernet (unicast, Broadcast et Multicast séparément), tandis que le reste des outils décrits précédemment donnent des valeurs relatives aux paquets IP. Cela crée un écart notable (en particulier sur les paquets courts) en raison de la surcharge causée par la longueur de l'en-tête Ethernet (cela peut cependant être combattu approximativement : L3_byte = L2_byte - L2_packets * 38).
VPN
Séparément, il convient de considérer le cas de l'accès des utilisateurs au réseau en établissant explicitement une connexion au serveur d'accès. Un exemple classique est le bon vieux modem commuté, dont l'analogue dans le monde moderne est les services d'accès à distance VPN (PPTP, PPPoE, L2TP, OpenVPN, IPSEC)


Le périphérique d'accès achemine non seulement le trafic IP de l'utilisateur, mais agit également comme un serveur VPN spécialisé et termine les tunnels logiques (souvent cryptés) dans lesquels le trafic utilisateur est transmis.
Pour prendre en compte ce trafic, vous pouvez utiliser tous les outils décrits ci-dessus (et ils sont bien adaptés à une analyse approfondie par ports/protocoles), ainsi que des mécanismes supplémentaires fournissant des outils de contrôle d'accès VPN. Tout d’abord, nous parlerons du protocole RADIUS. Son travail est un sujet assez complexe. Nous mentionnerons brièvement que le contrôle (autorisation) d'accès au serveur VPN (client RADIUS) est contrôlé par une application spéciale (serveur RADIUS), qui dispose d'une base de données (fichier texte, SQL, Active Directory) des utilisateurs autorisés avec leurs attributs (restrictions sur les vitesses de connexion, adresses IP attribuées). En plus du processus d'autorisation, le client transmet périodiquement des messages comptables au serveur, des informations sur l'état de chaque session VPN en cours d'exécution, y compris des compteurs d'octets et de paquets transmis.

Conclusion

Rassemblons toutes les méthodes de collecte d'informations sur le trafic décrites ci-dessus :

Résumons. En pratique, il existe un grand nombre de méthodes pour connecter le réseau que vous gérez (avec des clients ou des abonnés bureautiques) à une infrastructure réseau externe, en utilisant de nombreux outils d'accès - routeurs logiciels et matériels, commutateurs, serveurs VPN. Cependant, dans presque tous les cas, il est possible de proposer un schéma dans lequel les informations sur le trafic transmis sur le réseau peuvent être envoyées à un outil logiciel ou matériel pour leur analyse et leur gestion. Il est également possible que cet outil permette un retour d'informations sur le périphérique d'accès, en utilisant des algorithmes intelligents de restriction d'accès pour des clients individuels, des protocoles et d'autres éléments.
C'est ici que je terminerai l'analyse du matériel. Les sujets restants sans réponse sont :

  • comment et où vont les données de trafic collectées
  • logiciel de comptabilité du trafic
  • Quelle est la différence entre la facturation et un simple « compteur »
  • Comment imposer des restrictions de circulation ?
  • comptabilité et restriction des sites Web visités

Balises : ajouter des balises

Avez-vous aimé l'article? Partager avec des amis:
Vous pourriez également être intéressé