Безопасность в Internet- Intranet

       

Принципы мониторинга


Методика мониторинга сетевого трафика в продуктах данного назначения различна. Более половины предлагаемых программных средств представляют собой простые анализаторы файлов журнала proxy-сервера, в то время как остальные сами являются такими серверами со статистическими функциями и возможностью блокирования тех или иных IP-адресов по принципу сетевого "горлышка" (Pass-Through), через которое проходит трафик в Internet. В отличие от них продукт от JSB лишь проверяет пакеты, проходящие через сетевую карту. Эта технология называется сниффером (Pass-By). Она начала использоваться с того момента, как сетевые адаптеры начали поддерживать расширенный режим работы, т. е. у них появилась возможность перехватывать любые пакеты в сети. Применение именно такого способа снимает сразу несколько проблем: во-первых, сама собой отпадает необходимость в дополнительной настройке пользовательских компьютеров - они будут продолжать работать как обычно, даже не подозревая о контроле за их действиями в Internet. Во-вторых, не замедляется работа сети. По сравнению с proxy-сервером, который становится узким местом, сниффер не оказывает отрицательного воздействия на сеть. Но есть и минусы. Например, при превышении определенного уровня загрузки сети система может перестать справляться со своей задачей и начать пропускать пакеты. Как эта проблема была решена в surfCONTROL, рассказано в статье, а пока я добавлю, что этот недостаток имеет и оборотную сторону: ведь при выходе из строя системы слежения пользователи, хоть и бесконтрольно, но продолжают работу в Internet. Если же выходит из строя proxy-сервер, доступ прекращается. К недостаткам метода сниффера можно отнести и то, что при работе в сетях, разделенных маршрутизаторами, может возникнуть необходимость в установке нескольких систем surfCONTROL. Дело в том, что программа способна отслеживать лишь тот трафик, который проходит через сетевой адаптер системы. Если же пользовательские пакеты выходят в Internet разными путями, часть информации может быть потеряна. Для обеспечения ее целостности и достоверности придется установить по одной системе в каждый сегмент сети.



Содержание раздела