Menú
Gratis
Registro
casa  /  Servicios en línea/ Supervisar el tráfico en la red local. Cómo controlar el tráfico

Supervisar el tráfico en la red local. Cómo controlar el tráfico

Cualquier administrador, tarde o temprano, recibe una instrucción de la gerencia: "calcule quién entra en la red y cuánto descarga". Para los proveedores, se complementa con las tareas de "dejar entrar, cobrar, restringir el acceso". ¿Qué contar? ¿Cómo? ¿Donde? Hay mucha información fragmentaria, no están estructurados. Salvaremos al administrador novato de búsquedas tediosas al proporcionarle conocimientos generales, y Enlaces útiles para material
En este artículo intentaré describir los principios de organización de la recopilación, contabilidad y control del tráfico en la red. Consideraremos la problemática del tema y enumeraremos formas posibles recuperación de información de dispositivos de red.

Este es el primer artículo teórico de una serie de artículos dedicados a la recopilación, contabilidad, gestión y facturación del tráfico y los recursos de TI.

estructura de acceso a internet

En general, la estructura de acceso a la red se ve así:
  • Recursos externos: Internet, con todos los sitios, servidores, direcciones y otras cosas que no pertenecen a una red que usted controla.
  • Un dispositivo de acceso es un enrutador (basado en hardware o PC), conmutador, servidor VPN o concentrador.
  • Recursos internos: un conjunto de computadoras, subredes, suscriptores, cuyo trabajo en la red debe tenerse en cuenta o controlarse.
  • Servidor de administración o contabilidad: un dispositivo en el que un software. Se puede combinar funcionalmente con un enrutador de software.
En esta estructura, el tráfico de red fluye desde los recursos externos hacia los internos y viceversa, a través del dispositivo de acceso. Envía información de tráfico al servidor de gestión. El servidor de control procesa esta información, la almacena en la base de datos, la muestra, emite comandos de bloqueo. Sin embargo, no todas las combinaciones de dispositivos de acceso (métodos) y métodos de recopilación y gestión son compatibles. Las distintas opciones se discutirán a continuación.

Tráfico de red

Primero debe definir qué se entiende por "tráfico de red" y qué información estadística útil se puede extraer del flujo de datos del usuario.
La versión 4 de IP sigue siendo el protocolo de interconexión de redes dominante hasta el momento. El protocolo IP corresponde a la 3ª capa del modelo OSI (L3). La información (datos) entre el remitente y el destinatario se empaqueta en paquetes, que tienen un encabezado y una "carga útil". El encabezado define de dónde proviene el paquete y dónde (direcciones IP del remitente y destino), tamaño del paquete, tipo de carga útil. La mayor parte del tráfico de red se compone de paquetes con cargas útiles UDP y TCP: estos son protocolos de capa 4 (L4). Además de las direcciones, el encabezado de estos dos protocolos contiene números de puerto que determinan el tipo de servicio (aplicación) que transmite datos.

Para transmitir un paquete IP a través de cables (o radio), los dispositivos de red se ven obligados a "envolverlo" (encapsularlo) en un paquete de protocolo de capa 2 (L2). El protocolo más común de este tipo es Ethernet. La transferencia real "al cable" está en el primer nivel. Por lo general, el dispositivo de acceso (enrutador) no analiza los encabezados de los paquetes en un nivel superior a 4 (la excepción son los cortafuegos inteligentes).
Información de los campos de direcciones, puertos, protocolos y contadores de longitud de los encabezados L3 y L4 de los paquetes de datos y conforma que " materia prima”, que se utiliza para la contabilidad y la gestión del tráfico. La cantidad real de información que se transferirá se encuentra en el campo Longitud del encabezado IP (incluida la longitud del encabezado mismo). Por cierto, debido a la fragmentación de paquetes debido al mecanismo MTU, la cantidad total de datos transmitidos siempre es mayor que el tamaño de la carga útil.

La longitud total de los campos IP y TCP/UDP del paquete que nos interesan en este contexto es del 2...10% de la longitud total del paquete. Si procesa y almacena toda esta información lote por lote, no habrá suficientes recursos. Afortunadamente, la gran mayoría del tráfico está estructurado de tal manera que consiste en un conjunto de "diálogos" entre dispositivos de red externos e internos, los llamados "flujos". Por ejemplo, dentro de una sola operación de reenvío de correo electrónico (protocolo SMTP), se abre una sesión TCP entre el cliente y el servidor. Se caracteriza por un conjunto constante de parámetros. (Dirección IP de origen, Puerto TCP de origen, Dirección IP de destino Puerto TCP de destino). En lugar de procesar y almacenar información por paquete, es mucho más conveniente almacenar parámetros de flujo (direcciones y puertos), así como Información adicional– número y suma de las longitudes de los paquetes transmitidos en cada dirección, duración de la sesión opcional, índices de la interfaz del enrutador, valor del campo ToS, etc. Este enfoque es beneficioso para los protocolos orientados a la conexión (TCP), donde es posible interceptar explícitamente el momento en que finaliza la sesión. Sin embargo, incluso para protocolos no orientados a sesiones, es posible agregar y completar lógicamente un registro de flujo, por ejemplo, mediante un tiempo de espera. A continuación se muestra un extracto de la base de datos SQL de nuestro propio sistema de facturación que registra información sobre los flujos de tráfico:

Es necesario tener en cuenta el caso cuando el dispositivo de acceso realiza la traducción de direcciones (NAT, enmascaramiento) para organizar el acceso a Internet de las computadoras. red local utilizando una única dirección IP pública externa. En este caso, un mecanismo especial realiza la sustitución de direcciones IP y puertos TCP/UDP de paquetes de tráfico, reemplazando direcciones internas (no enrutables en Internet) de acuerdo con su tabla de traducción dinámica. En esta configuración, debe recordarse que para registrar correctamente los datos en los hosts de la red interna, las estadísticas deben recopilarse de manera y en el lugar donde el resultado de la traducción aún no "anonimiza" las direcciones internas.

Métodos de recopilación de información sobre el tráfico/estadísticas

Puede capturar y procesar información sobre el paso del tráfico directamente en el dispositivo de acceso (enrutador de PC, servidor VPN), transfiriéndolo desde este dispositivo a un servidor separado (NetFlow, SNMP) o "desde el cable" (toque, SPAN). Analicemos todas las opciones en orden.
enrutador de computadora
Considere el caso más simple: un dispositivo de acceso (enrutador) basado en una PC con sistema operativo Linux.

Cómo configurar dicho servidor, traducción de direcciones y enrutamiento, mucho se ha escrito. Estamos interesados ​​​​en el siguiente paso lógico: información sobre cómo obtener información sobre el tráfico que pasa a través de dicho servidor. Hay tres formas comunes:

  • interceptación (copia) de paquetes que pasan a través de la tarjeta de red del servidor utilizando la biblioteca libpcap
  • interceptación de paquetes que pasan a través del firewall incorporado
  • uso de herramientas de terceros para convertir estadísticas por paquete (obtenidas por uno de los dos métodos anteriores) en un flujo de flujo de red de información agregada
tapalibros


En el primer caso, una copia del paquete que pasa por la interfaz, después de pasar por el filtro (man pcap-filter), puede ser solicitada por un programa cliente en el servidor escrito usando esta biblioteca. El paquete llega con un encabezado de Capa 2 (Ethernet). Es posible limitar la longitud de la información capturada (si solo nos interesa la información de su cabecera). Ejemplos de tales programas son tcpdump y Wireshark. Hay una implementación de Windows de libpcap. En el caso de utilizar la traducción de direcciones en un enrutador de PC, dicha interceptación solo se puede realizar en su interfaz interna conectada a los usuarios locales. En la interfaz externa, después de la traducción, los paquetes IP no contienen información sobre los hosts internos de la red. Sin embargo, con este método es imposible tener en cuenta el tráfico generado por el propio servidor en Internet (lo cual es importante si se está ejecutando un servicio web o de correo).

El funcionamiento de libpcap requiere soporte del sistema operativo, que actualmente se reduce a instalar una sola biblioteca. En este caso, el programa de aplicación (usuario) que recopila los paquetes debe:

  • interfaz requerida abierta
  • especificar el filtro a través del cual pasar los paquetes recibidos, el tamaño de la parte capturada (snaplen), el tamaño del búfer,
  • configure el parámetro promisc, que pone la interfaz de red en modo de captura para todos los paquetes que pasan en general, y no solo aquellos dirigidos a la dirección MAC de esta interfaz
  • establecer una función (devolución de llamada) para ser llamada en cada paquete recibido.

Al transmitir un paquete a través de la interfaz seleccionada, luego de pasar el filtro, esta función recibe un búfer que contiene Ethernet, (VLAN), IP, etc. encabezados, tamaño total hasta snaplen. Dado que la biblioteca libcap copia paquetes, no es posible bloquear su paso con ella. En este caso, el programa de recopilación y procesamiento de tráfico deberá utilizar métodos alternativos, por ejemplo, llamar a un script para colocar la dirección IP especificada en la regla de bloqueo de tráfico.

cortafuegos


La captura de datos que pasan a través del firewall le permite tener en cuenta tanto el tráfico del propio servidor como el tráfico de los usuarios de la red, incluso cuando se está ejecutando la traducción de direcciones. Lo principal en este caso es formular correctamente la regla de captura y colocarla en el lugar correcto. Esta regla activa la transmisión del paquete hacia la biblioteca del sistema, desde donde la aplicación de contabilidad y gestión de tráfico puede recibirlo. Para el sistema operativo Linux, iptables se utiliza como cortafuegos y las herramientas de interceptación son ipq, netfliter_queue o ulog. Para OC FreeBSD-ipfw con reglas como tee o divert. En cualquier caso, el mecanismo del firewall se complementa con la capacidad de trabajar con el programa del usuario de la siguiente manera:
  • Un programa de usuario: un controlador de tráfico se registra en el sistema mediante una llamada al sistema o una biblioteca.
  • El programa de usuario o un script externo establece una regla en el cortafuegos, "envolviendo" el tráfico seleccionado (según la regla) dentro del controlador.
  • Para cada paquete que pasa, el controlador recibe su contenido en forma de un búfer de memoria (con encabezados IP, etc.). Después del procesamiento (contabilidad), el programa también debe decirle al kernel del sistema operativo qué hacer a continuación con dicho paquete: descartar o Alternativamente, es posible pasar el paquete modificado al kernel.

Dado que el paquete IP no se copia, sino que se envía al software de análisis, es posible "expulsarlo" y, por lo tanto, restringir total o parcialmente el tráfico de cierto tipo (por ejemplo, al suscriptor de la red local seleccionado). Sin embargo, si la aplicación deja de responder al núcleo acerca de su decisión (se cuelga, por ejemplo), el tráfico a través del servidor simplemente se bloquea.
Cabe señalar que los mecanismos descritos, con cantidades significativas de tráfico transmitido, crean una carga excesiva en el servidor, que está asociada con la copia constante de datos del kernel al programa del usuario. El método de recopilación de estadísticas a nivel del kernel del sistema operativo no tiene este inconveniente, con la emisión de estadísticas agregadas al programa de aplicación utilizando el protocolo NetFlow.

Flujo de red
Este protocolo fue desarrollado por Cisco Systems para exportar información de tráfico desde los enrutadores con el fin de contabilizar y analizar el tráfico. La versión 5, la más popular ahora, proporciona al destinatario un flujo de datos estructurados en forma de paquetes UDP que contienen información sobre el tráfico pasado en forma de los llamados registros de flujo:

El volumen de información sobre el tráfico es varios órdenes de magnitud menor que el propio tráfico, lo que es especialmente importante en redes grandes y distribuidas. Por supuesto, es imposible bloquear la transferencia de información al recopilar estadísticas en netflow (si no utiliza mecanismos adicionales).
Actualmente, el desarrollo posterior de este protocolo se está volviendo popular: la versión 9, basada en la estructura de plantilla de registro de flujo, una implementación para dispositivos de otros fabricantes (sFlow). Recientemente se ha adoptado el estándar IPFIX, que permite transmitir estadísticas sobre protocolos de niveles más profundos (por ejemplo, por tipo de aplicación).
La implementación de fuentes de netflow (agentes, sondas) está disponible para enrutadores de PC, tanto en forma de utilidades que funcionan de acuerdo con los mecanismos descritos anteriormente (flowprobe, softflowd) como directamente integradas en el kernel del sistema operativo (FreeBSD: , Linux: ). Para los enrutadores de software, el flujo de estadísticas de netflow puede recibirse y procesarse localmente en el enrutador mismo, o enviarse a través de la red (protocolo de transmisión - sobre UDP) al dispositivo receptor (colector).


El programa recopilador puede recopilar información de muchas fuentes a la vez, pudiendo distinguir entre su tráfico incluso con espacios de direcciones superpuestos. Con ayuda fondos adicionales, como nprobe, también es posible realizar agregaciones de datos adicionales, bifurcaciones de flujo o conversión de protocolos, lo cual es importante cuando se administra una gran cantidad de datos. red distribuida con docenas de enrutadores.

Las funciones de exportación de netflow admiten enrutadores de Cisco Systems, Mikrotik y algunos otros. Todos los principales fabricantes de equipos de red admiten una funcionalidad similar (con otros protocolos de exportación).

libpcap "afuera"
Compliquemos un poco la tarea. ¿Qué sucede si su dispositivo de acceso es un enrutador de hardware de terceros? Por ejemplo, D-Link, ASUS, Trendnet, etc. En él, lo más probable, es imposible poner un adicional herramienta de software Captura de datos. Alternativamente, tiene un dispositivo de acceso inteligente, pero no es posible configurarlo (no tiene derechos o lo controla su proveedor). En este caso, es posible recopilar información sobre el tráfico directamente en el punto de unión del dispositivo de acceso con la red interna, utilizando los medios de "hardware" para copiar paquetes. En este caso, seguramente necesitará un servidor separado con una tarjeta de red dedicada para recibir copias de paquetes Ethernet.
El servidor debe usar el mecanismo de recolección de paquetes de acuerdo con el método libpcap descrito anteriormente, y nuestra tarea es enviar un flujo de datos idéntico a la salida del servidor de acceso a la entrada de la tarjeta de red asignada para esto. Para esto puedes usar:
  • Concentrador Ethernet: Un dispositivo que simplemente reenvía paquetes entre todos sus puertos indiscriminadamente. En las realidades modernas, se puede encontrar en algún lugar de un almacén polvoriento, y este método no se recomienda: no es confiable, baja velocidad(no hay concentradores a una velocidad de 1 Gbps)
  • Ethernet: un conmutador con la capacidad de duplicar (duplicación, puertos SPAN. Los conmutadores modernos inteligentes (y costosos) le permiten copiar todo el tráfico (entrante, saliente, ambos) al puerto especificado de otra interfaz física, VLAN, incluido el control remoto (RSPAN )
  • Divisor de hardware, que puede requerir instalación para recopilar dos tarjetas de red en lugar de una, además de la principal del sistema.


Naturalmente, puede configurar el puerto SPAN en el dispositivo de acceso (enrutador), si lo permite: Cisco Catalyst 6500, Cisco ASA. Aquí hay un ejemplo de una configuración de este tipo para un conmutador Cisco:
monitorear sesión 1 fuente vlan 100 ! de donde sacamos los paquetes
monitorear sesión 1 interfaz de destino Gi6/3! ¿Dónde enviamos los paquetes?

SNMP
Qué pasa si no hay un enrutador bajo nuestro control, no hay deseo de contactar a netflow, no nos interesan los detalles del tráfico de nuestros usuarios. Simplemente están conectados a la red a través de un conmutador administrado, y solo necesitamos estimar aproximadamente la cantidad de tráfico que cae en cada uno de sus puertos. Como sabe, los dispositivos de red con la capacidad control remoto y puede mostrar contadores de paquetes (bytes) que pasan a través de las interfaces de red. Para sondearlos, sería correcto utilizar el protocolo estandarizado de gestión remota SNMP. Usándolo, simplemente puede obtener no solo los valores de los contadores especificados, sino también otros parámetros, como el nombre y la descripción de la interfaz, las direcciones MAC visibles a través de ella y otros información útil. Esto se hace mediante utilidades de línea de comandos (snmpwalk), navegadores gráficos SNMP y programas de monitoreo de red más sofisticados (rrdtools, cacti, zabbix, whats up gold, etc.). Sin embargo, este método tiene dos inconvenientes importantes:
  • el bloqueo de tráfico solo se puede hacer deshabilitando completamente la interfaz, usando el mismo SNMP
  • los contadores de tráfico tomados a través de SNMP se refieren a la suma de las longitudes de los paquetes Ethernet (con unicast, broadcast y multicast por separado), mientras que el resto de las herramientas descritas anteriormente dan valores relativos a los paquetes IP. Esto crea una discrepancia notable (especialmente en paquetes cortos) debido a la sobrecarga causada por la longitud del encabezado de Ethernet (sin embargo, esto se puede tratar aproximadamente: L3_bytes = L2_bytes - L2_packets*38).
vpn
Por separado, vale la pena considerar el caso del acceso del usuario a la red mediante el establecimiento explícito de una conexión con el servidor de acceso. Un ejemplo clásico es el viejo dial-up, cuyo análogo en mundo moderno son servicios de acceso remoto VPN (PPTP, PPPoE, L2TP, OpenVPN, IPSEC)


El dispositivo de acceso no solo enruta el tráfico IP del usuario, sino que también actúa como un servidor VPN especializado y termina los túneles lógicos (a menudo encriptados) dentro de los cuales se transmite el tráfico del usuario.
Para dar cuenta de dicho tráfico, puede usar todas las herramientas descritas anteriormente (y son muy adecuadas para un análisis en profundidad por puertos/protocolos), así como mecanismos adicionales que brindan herramientas de control de acceso VPN. En primer lugar, hablaremos del protocolo RADIUS. Su trabajo es un tema bastante complejo. Mencionaremos brevemente que el control (autorización) de acceso al servidor VPN (cliente RADIUS) es controlado por una aplicación especial (servidor RADIUS), que tiene una base de datos (archivo de texto, SQL, Active Directory) de usuarios válidos con sus atributos ( restricciones en la velocidad de conexión, direcciones IP asignadas). Además del proceso de autorización, el cliente envía periódicamente mensajes de contabilidad al servidor, información sobre el estado de cada sesión VPN actualmente en ejecución, incluidos contadores de bytes y paquetes transmitidos.

Conclusión

Resumamos todos los métodos de recopilación de información de tráfico descritos anteriormente:

Resumamos un poco. En la práctica, existe una gran cantidad de métodos para conectar la red que administra (con clientes o suscriptores de la oficina) a una infraestructura de red externa utilizando una serie de herramientas de acceso: enrutadores de software y hardware, conmutadores, servidores VPN. Sin embargo, en casi cualquier caso, se puede llegar a un esquema cuando la información sobre el tráfico transmitido por la red se puede dirigir a una herramienta de software o hardware para su análisis y control. También es posible que esta herramienta permita retroalimentación al dispositivo de acceso, aplicando algoritmos inteligentes de restricción de acceso para clientes individuales, protocolos y más.
Esto concluye el análisis del material. De los temas sin resolver quedaron:

  • cómo y dónde van los datos de tráfico recopilados
  • software de contabilidad de tráfico
  • cuál es la diferencia entre la facturación y un simple "contador"
  • como limitar el trafico
  • registrar y limitar los sitios web visitados

Instrucción

Por regla general, los datos se obtienen de dos maneras: por conexión directa a una computadora remota, como resultado de lo cual el pirata informático puede navegar por las carpetas de la computadora y copiar la información que necesita, y mediante el uso de troyanos. Encontrar el trabajo de un troyano escrito profesionalmente es muy difícil. Pero no hay tantos programas de este tipo, por lo que en la mayoría de los casos el usuario nota algunas rarezas en el funcionamiento de la computadora, lo que indica que está infectado. Por ejemplo, intentos de conectarse a la red, actividad extraña en la red cuando no abre ninguna página, etc. etc.

En todas estas situaciones, es necesario controlar el tráfico, para esto puede usar el herramientas de windows. Abra el símbolo del sistema: "Inicio" - "Todos los programas" - "Accesorios" - "Símbolo del sistema". También puede abrirlo así: "Inicio" - "Ejecutar", luego escriba cmd y presione Entrar. Se abrirá una ventana negra, esta es la línea de comando (consola).

Escriba netstat –aon en el símbolo del sistema y presione Entrar. Aparecerá una lista de conexiones que muestra las direcciones IP a las que se conecta su computadora. En la columna "Estado", puede ver el estado de la conexión; por ejemplo, la línea ESTABLECIDA indica que esta conexión está activa, es decir, está presente en este momento. La columna "Dirección externa" contiene la dirección IP de la computadora remota. En la columna "Dirección local" encontrará información sobre los puertos abiertos en su computadora a través de los cuales se realizan las conexiones.

Preste atención a la última columna - PID. Contiene identificadores asignados por el sistema procesos actuales. Son muy útiles para encontrar la aplicación responsable de las conexiones que le interesan. Por ejemplo, ves que tienes una conexión establecida a través de algún puerto. Recuerde el PID, luego en la misma ventana de línea de comando, escriba lista de tareas y presione Entrar. Aparecerá una lista de procesos, en su segunda columna se indican los identificadores. Al encontrar el identificador ya familiar, puede determinar fácilmente qué aplicación estableció esta conexión. Si el nombre del proceso no le resulta familiar, ingréselo en un motor de búsqueda, recibirá de inmediato toda la información necesaria al respecto.

Para controlar el tráfico, también puede usar programas especiales, por ejemplo, BWMeter. La utilidad es útil porque puede controlar completamente el tráfico, indicando a qué direcciones se conecta su computadora. Recuerda que cuando ajuste correcto no debería estar en línea cuando no esté utilizando Internet, incluso si el navegador se está ejecutando. En una situación en la que el indicador de conexión en la bandeja de vez en cuando señala la actividad de la red, debe encontrar la aplicación responsable de la conexión.

Hay muchos programas para contabilizar el tráfico en la red local: tanto de pago como gratuitos, que difieren mucho en su funcionalidad. Uno de los programas de código abierto más populares es SAMS. Se ejecuta en la plataforma Linux junto con Squid.

SAMS requiere PHP5, usaremos Ubuntu Server 14.04. Necesitaremos paquetes Squid, Apache2, PHP5 con módulos.

Contabilidad del tráfico de Internet en la red local de Linux.

Vamos a tratar de averiguar cómo funciona.

Squid distribuye Internet y acepta solicitudes en el puerto 3128. Al mismo tiempo, escribe un access.log detallado. Toda la gestión se realiza a través del archivo squid.conf. Squid tiene una amplia gama de capacidades de control de acceso a Internet: control de acceso por direcciones, control de ancho de banda para direcciones específicas, grupos de direcciones y redes.

SAMS funciona analizando los registros del servidor proxy Squid. El sistema de contabilidad de tráfico en la red local monitorea las estadísticas del servidor proxy y, de acuerdo con las políticas especificadas, toma la decisión de bloquear, desbloquear o limitar la velocidad del cliente Squid.

Instalación SAMS

Instalación de paquetes.

apt-get install apache2 php5 php5-mysql mysql-server php5-gd squid3

Descargar e instalar SAMS

wget https://github.com/inhab-magnus/sams2-deb/archive/master.zip

descomprimir master.zip

cd sams2-deb-master/

dpkg -i sams2_2.0.0-1.1_amd64.deb

Instalación de la interfaz web

dpkg -i apache2/sams2-web_2.0.0-1.1_all.deb

Realizamos cambios en el archivo /etc/sams2.conf.

DB_PASSWORD=/contraseña MySql/

Lanzar SAMS

inicio del servicio sams2

Configurando Calamar

Realizar cambios en el archivo /etc/squid3/squid.conf

http_puerto 192.168.0.110:3128
cache_dir ufs /var/spool/squid3 2048 16 256

Habilitamos el registro y la rotación de registros con almacenamiento durante 31 días.

demonio access_log:/var/log/squid3/access.log squid

archivo de registro_rotar 31

Detener Squid, crear caché.

parada de servicio squid3

inicio del servicio squid3

Para la pureza del experimento, configuramos uno de los navegadores para que funcione con el proxy 192.168.0.110 a través del puerto 3128. Después de intentar conectarnos, obtenemos una falla de conexión: Squid no tiene derechos de acceso al proxy configurado.

Configuración inicial de SAMS

En otro navegador, abra la dirección (192.168.0.110 - dirección del servidor).

http://192.168.0.110/sam2

Nos dirá que no puede conectarse a la base de datos y se ofrecerá a instalar.

Especifique el servidor de la base de datos (127.0.0.1), nombre de usuario y contraseña de MySql.

La configuración inicial del sistema de contabilidad de tráfico está completa. Solo queda configurar el programa.

Supervisión del tráfico en la red local

Inicie sesión en el sistema como administrador (admin/qwerty).

Vale la pena decir de inmediato sobre la autorización del usuario.

En la sucursal de Squid, abra el servidor proxy y haga clic en el botón "Configuración del servidor proxy" a continuación.

Lo más importante aquí es especificar su dirección IP en las direcciones de carpetas y archivos, cuando sea necesario, de lo contrario, el servidor proxy no se iniciará.

La esencia de todos los cambios en la configuración de SAMS es que se escriben en squid.conf. sams2deamon se ejecuta en segundo plano, lo que supervisa los cambios en la configuración que deben realizarse en el archivo de configuración (también puede establecer el intervalo de seguimiento allí).

Rellene los campos "Usuario" y "Dirección IP". Como nombre de usuario, tome la misma IP (¡IP de la computadora, no del servidor!). En el campo "Tráfico permitido", ingrese "0", es decir, sin restricciones. Todos los demás campos se omiten.

Se agregará una nueva acl para esta dirección IP y permiso para trabajar a través de Squid. Si la configuración no se cambió automáticamente, vaya a la rama del proxy y haga clic en el botón "Reconfigurar Squid". Los cambios en la configuración se realizarán manualmente.

Intentamos abrir cualquier URL en el navegador. Verificamos access.log y vemos las solicitudes procesadas por el proxy. Para verificar el funcionamiento de SAMS, abra la página "Usuarios", haga clic en el botón "Recalcular el tráfico de usuarios" a continuación.

Usando los botones a continuación para administrar las estadísticas, puede obtener información detallada sobre las estadísticas de las visitas de los usuarios a las páginas.

El jefe de una empresa de cualquier tamaño debe ser consciente de la cantidad de recursos que consume su organización, cuánto y adónde va Dinero cuánta electricidad se consume, cuáles son los costos de telefonía, etc. En los últimos 10-15 años se ha sumado otra partida de gasto: Internet. Para presupuestar correctamente para la empresa costos de trafico de internet, es necesario conocer de manera confiable cuál es su consumo mensual en la empresa. Asi que contabilidad de tráfico- uno de responsabilidades esenciales un administrador del sistema, quien se encarga del conteo del tráfico, su ahorro, lo que incluye un control continuo sobre el hecho de que la cantidad de tráfico asignado a la empresa, por ejemplo, el tráfico semanal, no supere el límite establecido.

Para ahorrar dinero, cada vez más organizaciones están cambiando a paquetes ilimitados acceso a Internet, pero la importancia de la contabilidad del tráfico no disminuye a partir de esto. Entonces, por ejemplo, en la red, es posible una caída periódica en la velocidad de la conexión a Internet, por lo que puede haber muchas razones: de un proveedor sin escrúpulos o de un empleado que descarga tiempo de trabajo archivos grandes antes de que se bloquee cualquiera de las interfaces de red. Y la baja velocidad de Internet o su ausencia para las empresas modernas conlleva una disminución de la calidad de los servicios hoy y la pérdida de socios y clientes mañana.

Según la política de seguridad, la contabilidad del tráfico se puede implementar de las siguientes maneras:

1. Usando Protocolo SNMP (Protocolo simple de administración de red). La ventaja de este método es que no es necesario instalar software adicional en las computadoras de los usuarios. En este caso, el programa de contabilidad de tráfico se instala solo en la PC del administrador del sistema, y ​​en las computadoras remotas solo es necesario configurar correctamente el servicio SNMP, lo cual no es nada difícil para un especialista. Este protocolo le permite contabilizar el tráfico, en primer lugar, en equipos que ejecutan Windows y Linux y, en segundo lugar, en impresoras de red, conmutadores y otros dispositivos de red. Por lo tanto, el administrador del sistema también tiene la oportunidad de controlar el funcionamiento de los equipos de red activos de la empresa. A menudo, de forma predeterminada, el protocolo SNMP está deshabilitado en el sistema operativo y debe instalarse y configurarse.

2. Usando Servicios WMI (instrumentación de administración de Windows), que es una alternativa a SNMP. Este método de contabilidad de tráfico, al igual que el anterior, no requiere la instalación de ningún módulo adicional en las computadoras controladas. Sin embargo, este método solo es adecuado para el sistema operativo Windows.

3. Si la política de seguridad de la empresa prohíbe el uso de los servicios SNMP y WMI, el administrador del sistema puede utilizar la contabilidad del tráfico a través de instalaciones de agentes a computadoras remotas, que generalmente están conectadas al programa de contabilidad de tráfico. Si el agente se implementa como un servicio, lee todos los valores de tráfico de forma imperceptible para el usuario y sin cargar la computadora.

4. El siguiente método es contabilizar el tráfico usando Protocolo NetFlow, que fue desarrollado por Cisco y está diseñado para recopilar información sobre el tráfico IP dentro de la red. El principio de su funcionamiento es acumular todas las estadísticas sobre los paquetes IP transmitidos en un búfer especial y luego procesarlo. La principal ventaja de este método es la capacidad de realizar un seguimiento del tráfico en grandes compañias con una red compleja y distribuida geográficamente. Es cierto que se debe tener en cuenta que este método de contabilidad de tráfico solo se puede implementar en redes donde hay equipos que admitan el protocolo NetFlow, y se debe admitir que es bastante costoso.

5. Otro método es contar paquetes de red usando sniffer o analizador de tráfico. Este método le permite averiguar la dirección IP tanto del remitente como del destinatario, lo que significa que puede ver en qué se gastan los recursos de la organización. Es importante saber que en redes con gran cantidad de tráfico transmitido o alto ancho de banda esta especie la contabilidad del tráfico puede dar algunos errores.

El uso de varios métodos de contabilidad de tráfico a la vez ayuda a obtener una imagen completa del trabajo de la empresa y sus empleados. La contabilización del tráfico por separado para cada protocolo, así como la visualización automática de toda la información recopilada en forma de tablas y gráficos, le permite calcular los empleados que utilizan Internet de forma más activa, así como averiguar con qué fines se gasta: ver fotos, descargar archivos, enviar mensajes o buscar videos en Internet.

Algunos programas de contabilidad de tráfico le permiten configurar su reacción ante ciertos eventos, por ejemplo, para exceder el límite establecido de tráfico consumido o para desconectar una interfaz de red. Gracias a esto, el administrador del sistema responde más rápido a estos eventos y soluciona los problemas con una mínima pérdida de tiempo y esfuerzo. Pero la tarea más importante del proceso de contabilidad de tráfico es la capacidad de estar siempre al tanto de los gastos actuales, sobre la base de los cuales puede planificar cuidadosamente su presupuesto en el futuro, así como sacar conclusiones objetivas sobre el trabajo de los empleados de la organización.

Puede encontrar más información sobre el programa de contabilidad de tráfico aquí http://www.10-strike.com/rus/bandwidth-monitor/

23/05/16 45.3K

Muchos administradores de red a menudo se enfrentan a problemas que el análisis del tráfico de red puede ayudar a resolver. Y aquí nos enfrentamos a un concepto como un analizador de tráfico. ¿Así que qué es lo?


Los analizadores y recopiladores de NetFlow son herramientas que lo ayudan a monitorear y analizar los datos de tráfico de la red. Los analizadores de procesos de red le permiten identificar dispositivos que reducen el ancho de banda. Saben cómo encontrar áreas problemáticas en su sistema y mejorar la eficiencia general de la red.

El término " Flujo de red" se refiere a un protocolo de Cisco diseñado para recopilar información sobre el tráfico a través de IP y monitorear el tráfico de la red. NetFlow se ha adoptado como el protocolo estándar para las tecnologías de transmisión.

El software NetFlow recopila y analiza los datos de flujo generados por los enrutadores y los presenta en un formato fácil de usar.

Varios otros proveedores de equipos de red tienen sus propios protocolos de monitoreo y recopilación de datos. Por ejemplo, Juniper, otro proveedor de dispositivos de red muy respetado, llama a su protocolo " j-flujo". HP y Fortinet usan el término " s-flujo". Aunque los protocolos tienen nombres diferentes, todos funcionan de manera similar. En este artículo, veremos 10 analizadores de tráfico de red gratuitos y recopiladores de NetFlow para Windows.

Analizador de tráfico NetFlow en tiempo real de SolarWinds


Free NetFlow Traffic Analyzer es una de las herramientas más populares disponibles para descarga gratuita. Le brinda la capacidad de ordenar, etiquetar y mostrar datos de varias maneras. Esto le permite visualizar y analizar convenientemente el tráfico de la red. La herramienta es excelente para monitorear el tráfico de la red por tipo y período de tiempo. Además de ejecutar pruebas para determinar cuánto tráfico consumen las diferentes aplicaciones.

Esta herramienta gratuita está limitada a una interfaz de monitoreo de NetFlow y solo guarda 60 minutos de datos. Este Netflow Analyzer es una herramienta poderosa que vale la pena usar.

Colasoft Capsa Gratis


Este analizador de tráfico LAN gratuito le permite identificar y monitorear más de 300 protocolos de red y le permite crear informes personalizables. Incluye monitoreo de correo electrónico y diagramas de secuencia. sincronización TCP, todo recopilado en un panel personalizable.

Otras características incluyen análisis de seguridad de la red. Por ejemplo, seguimiento de ataques DoS/DDoS, actividad de gusanos y detección de ataques ARP. Además de decodificación de paquetes y visualización de información, estadísticas sobre cada host en la red, control de intercambio de paquetes y reconstrucción de flujo. Capsa Free es compatible con todas las versiones de Windows XP de 32 y 64 bits.

Requisitos mínimos del sistema para la instalación: 2 GB de RAM y un procesador de 2,8 GHz. También debe tener una conexión ethernet a Internet ( compatible con NDIS 3 o superior), Fast Ethernet o Gigabit con un controlador de modo mixto. Le permite capturar pasivamente todos los paquetes transmitidos a través de un cable Ethernet.

Escáner IP enojado


Es un analizador de tráfico de Windows de código abierto que es rápido y fácil de usar. No requiere instalación y se puede utilizar en Linux, Windows y Mac OSX. Esta herramienta funciona a través de un simple ping de cada dirección IP y puede determinar direcciones MAC, escanear puertos, proporcionar información de NetBIOS, determinar el usuario autorizado en sistemas Windows, descubrir servidores web y mucho más. Sus capacidades se amplían con complementos de Java. Los datos escaneados se pueden guardar en archivos de formato CSV, TXT, XML.

ManageEngine NetFlow Analyzer Profesional


Una versión completamente funcional del software NetFlow de ManageEngines. Es un software poderoso con un conjunto completo de funciones para el análisis y la recopilación de datos: monitoreo del ancho de banda del canal en tiempo real y alertas cuando se alcanzan los umbrales, lo que le permite administrar procesos rápidamente. Además, proporciona la salida de datos resumidos sobre el uso de recursos, monitoreo de aplicaciones y protocolos, y mucho más.

La versión gratuita del analizador de tráfico de Linux le permite usar el producto de forma ilimitada durante 30 días, después de lo cual solo puede monitorear dos interfaces. Los requisitos del sistema para NetFlow Analyzer ManageEngine varían según el caudal. Requisitos recomendados para un caudal mínimo de 0 a 3000 hilos por segundo: procesador de doble núcleo a 2,4 GHz, 2 GB de RAM y 250 GB de espacio libre en disco duro. A medida que aumenta la velocidad de la corriente a monitorear, también aumentan los requisitos.

El tío


Esta aplicación es un monitor de red popular desarrollado por MikroTik. Escanea automáticamente todos los dispositivos y recrea el mapa de red. The Dude supervisa los servidores que se ejecutan en varios dispositivos y le avisa si se producen problemas. Otras características incluyen el descubrimiento automático y la visualización de nuevos dispositivos, la capacidad de crear mapas personalizados, acceso a herramientas de administración remota de dispositivos y más. Se ejecuta en Windows, Linux Wine y MacOS Darwine.

Analizador de red JDSU Fast Ethernet


Este programa analizador de tráfico le permite recopilar y ver datos rápidamente a través de la red. La herramienta brinda la capacidad de ver usuarios registrados, determinar el nivel de uso del ancho de banda de la red por parte de dispositivos individuales y encontrar y corregir errores rápidamente. Así como capturar datos en tiempo real y analizarlos.

La aplicación admite la creación de gráficos y tablas muy detallados que permiten a los administradores monitorear anomalías de tráfico, filtrar datos para filtrar grandes cantidades de datos y más. Esta herramienta para profesionales principiantes, así como para administradores experimentados, le permite tomar el control total de la red.

Escrutador Plixer


Este analizador de tráfico de red le permite recopilar y analizar exhaustivamente el tráfico de red y encontrar y corregir errores rápidamente. Con Scrutinizer, puede ordenar los datos de varias maneras, incluidos intervalos de tiempo, hosts, aplicaciones, protocolos y más. La versión gratuita le permite controlar un número ilimitado de interfaces y almacenar datos durante 24 horas de actividad.

Tiburón alambre


Wireshark es un potente analizador de red que puede ejecutarse en Linux, Windows, MacOS X, Solaris y otras plataformas. Wireshark le permite ver los datos capturados mediante una interfaz gráfica o utilizar las utilidades TShark en modo TTY. Sus características incluyen recopilación y análisis de tráfico VoIP, visualización en tiempo real de datos Ethernet, IEEE 802.11, Bluetooth, USB, Frame Relay, salida de datos a XML, PostScript, CSV, compatibilidad con descifrado y más.

Requisitos del sistema: Windows XP y superior, cualquier procesador moderno de 64/32 bits, 400 Mb de RAM y 300 Mb de espacio libre en disco. Wireshark NetFlow Analyzer es una poderosa herramienta que puede simplificar enormemente el trabajo de cualquier administrador de red.

PaesslerPRTG


Este analizador de tráfico brinda a los usuarios muchas características útiles: soporte para monitorear LAN, WAN, VPN, aplicaciones, servidor virtual, QoS y entorno. También se admite el monitoreo de sitios múltiples. PRTG utiliza SNMP, WMI, NetFlow, SFlow, JFlow y detección de paquetes, así como monitoreo de tiempo de actividad/tiempo de inactividad y compatibilidad con IPv6.

La versión gratuita le permite usar una cantidad ilimitada de sensores durante 30 días, después de lo cual solo puede usar hasta 100 de forma gratuita.

nProbe


Es una aplicación de análisis y seguimiento de NetFlow de código abierto con todas las funciones.

nProbe es compatible con IPv4 e IPv6, Cisco NetFlow v9/IPFIX, NetFlow-Lite, análisis de tráfico de VoIP, muestreo de secuencias y paquetes, registro, MySQL/Oracle y actividad de DNS, y mucho más. La aplicación es gratuita si descarga y compila el analizador de tráfico en Linux o Windows. El ejecutable de configuración limita la cantidad de captura a 2000 paquetes. nProbe es completamente gratis para Instituciones educacionales así como no comerciales y organizaciones científicas. Esta herramienta funcionará en versiones de 64 bits de los sistemas operativos Linux y Windows.

Esta lista de 10 analizadores y recolectores de tráfico NetFlow gratuitos lo ayudarán a comenzar a monitorear y solucionar problemas en una red de oficina pequeña o una gran WAN corporativa de múltiples sitios.

Cada aplicación presentada en este artículo permite monitorear y analizar el tráfico de la red, detectar fallas menores e identificar anomalías en el ancho de banda que pueden indicar amenazas a la seguridad. Además de visualizar información sobre la red, el tráfico y más. Los administradores de red definitivamente deberían tener tales herramientas en su arsenal.

Esta publicación es una traducción del artículo " Los 10 mejores analizadores y recopiladores gratuitos de Netflow para Windows» preparado por un equipo de proyecto amistoso

Bueno malo