計算機網絡的普及應用已滲透到社會各個層面,給社會帶來便利的同時也隨之帶來的安全和管理問題。互聯網絡是一把雙刃劍;就如一個企業而言有些員工利用工作時間看新聞、玩游戲、干私活、聊天、泄密公司資料、炒股票、下電影、聽歌曲、瀏覽色情站點、甚至在公司網上邊拿老板工資邊找工作等等。不僅僅消耗公司資源,更是因為影響公司效率、泄露公司機密、甚至丟失客戶資源令人痛心。而利用局域網網絡監控軟件這非常有效的管理輔助手段并和企業的內部管理機制結合達到更加事半功倍的效果,已經成為大家的共識。
一、為什么要使用局域網網絡監控軟件?
很多單位很舍得對網絡以及電腦設備的投入,但卻不舍得對應用軟件特別是安全軟件投入是不恰當的,如果組建了性能出色的網絡環境以及購買了現代化的辦公設備,但卻成了沉迷、浪費公司人力和財力;甚至是縱容員工上班時間做單位之外的事情就成了問題;反而降低了工作效率,甚至導致更大損失;因此網絡監控非常必要;
目前很多單位請了網絡管理人員還建設了網站;但是把設備是管好了,可設備帶來的方便卻降低了工作效率(都用網絡干別的事情去了),網絡帶來的客戶因為員工缺乏管理而可能直接成為了競爭對手的客戶了;因此僅購買設備是不夠的,僅僅建設網站也是不夠的,只管理設備也還是不夠的,還需要把員工使用網絡的內容監視和并把網絡行為管理起來;特別是外貿企業、技術含量較高的企業(如軟件、工程類)、政府關鍵部門等等對員工的上網監督管理的意義尤為重要。
二、局域網網絡監控軟件主要目標:
網絡監控系統總體目標是能有效防止員工通過網絡以各種方式泄密,實現對網絡電腦及網絡資源的統一管理和有效監控。未經授權不得以各種方式外發文件、不得上班時間利用網絡做不應該做的事、并能夠記錄網絡往來的內容(比如外貿企業的定單過程),對電腦的各種端口和設備實施全面管理和控制,對用機、上網、收發郵件、網上聊天和電腦游戲進行嚴格管理與控制;
1、防止并追查重要資料、機密文件等外泄;
2、監督、審查、限制、規范網絡使用行為;
3、限制消耗資源的聊天、游戲、外發資料、BT惡性下載和股票等行為;
4、備份重要網絡資源文件(比如業務郵件);
5、監視QQ/MSN聊天記錄內容和行為過程;
6、流量限制以及網站訪問統計,用于分析員工使用網絡情況;
三、網絡抓包技術:
1、UNIX系統提供了標準的API支持
(1)Packet socket
(2)BPF(主要的流行手段)
A、BSD抓包法
.BPF是一個核心態的組件,也是一個過濾器
.Network Tap接收所有的數據包
.Kernel Buffer,保存過濾器送過來的數據包
.User buffer,用戶態上的數據包緩沖區
B、Libpcap(一個抓包工具庫)支持BPF
.Libpcap是用戶態的一個抓包工具
.Libpcap幾乎是系統無關的
C、BPF是一種比較理想的抓包方案
.在核心態,所以效率比較高,
.但是,只有少數OS支持(主要是一些BSD操作系統)
2、Windows平臺上通過驅動程序來獲取數據包
(1)驅動程序
模式一、在核心層驅動,和WINDOWS操作系統核心結合緊密,效率非常高性能最好;因為網絡火墻都在網絡上層運行(也就是說在火墻核心層驅動上面運行),因此核心層驅動將不受網絡火墻干擾;
模式二、在網絡層驅動, 雖然自己寫的驅動容易控制管理但性能根本無法與核心層驅動比較;并受防火墻限制和干擾;
(2)WinPcap驅動標準接口(目前國產網絡監控軟件90%采用)
WINPCAP是目前國際標準的接口程序,穩定性良好支持100M通訊;但缺點也是同樣明顯的,可控制性很差導致很多功能都無法實現,只能監聽模式無法網關模式導致流量限制、BT限制、UDP阻斷方面等等天生的弱點;另外由于WINPCAP版本互相不兼容可能導致無法監控,無法識別千兆網卡或無法讀到網卡列表;只能同時監控單網卡等;
四、網絡監控軟件的解決方案分類比較:
(一)按照運行原理區分為:監聽模式和網關模式兩種
1、 監聽模式
通過抓取總線MAC層數據偵方式而獲得監聽數據,并利用網絡通訊協議原理而實現控制的方法;因此監聽模式最大的弱點原理性的,也就是說需要如下方法之一來解決安裝問題:
(1)通過共享式HUB(集線器)
這個模式是一個比較通用的方法,但由于HUB基本都是10M的,因此在網絡性能上將很大限制,也意味丟包的危險;目前HUB幾乎到了淘汰的命運;也不適合大型網絡環境,因此是很大局限;
(2)通過鏡像交換機
可網管的鏡像交換機首先是比較貴并需要專業的配置,而目絕大多數企業并沒有帶鏡像交換機,另外如果規模比較小的話(比如30個電腦一下),那么增加購買鏡像交換機意味成本的提高,另外有些便宜的交換機雖然帶鏡像功能,但在鏡像后由于雙向(監視和控制)數據流處理不完善而導致交換機瞬間阻塞現象;但相比HUB模式來說,使用鏡像交換機實現監聽無疑是理想的選擇;
(3)通過代理/網關服務器
所以代理/網關服務器,就是在這個電腦通過WINDOWS連接共享設置、SYGATE、CCPROXY、ISA等,其他電腦通過這個代理/網關服務器分享上網;一般都是雙網卡模式;一個網卡連接外網,另外一個網卡連接內網,監控軟件捆綁內網卡;但現在大部分的網絡已經不再使用這個模式,直接通過路由的NAT上網共享模式;而像ISA這樣的網絡,每個電腦都要去設置就足夠麻煩了;而WINPCAP模式下對ISA是無法監控的;目前分為:
(a)服務代理模式:比如CCPROXY
比如設置上網瀏覽為8080,郵件為8025等等,這樣的代理模式;下面的電腦需要一個一個設置應用代理端口,因此已經很少人使用了;
(b)透明網關模式:比如WINROUTER,
網內其他電腦設置默認網關就可;通過NAT地址轉換;
(4)ARP欺騙模式
ARP欺騙模式將可以實現在普通交換機下的數據監聽,方法簡單有效,但主要是兩個弱點,一是不適合規模大的網絡(建議少于50臺電腦的環境);二是會和網絡內其他的ARP欺騙軟件互相沖突干擾而導致網絡癱瘓;
因此我們看到,其實所有的監聽模式的解決方法都是不太可靠的,而目前所有使用WINPCAP驅動的網絡監控軟件以及使用網絡層驅動的軟件都是監聽模式;如果要求你前面的3個安裝方法之一的就肯定是監聽模式軟件;不管軟件廠家吹了多少牛欺騙了多少無辜的人;因此真正商業運行的話強烈建議網關模式;特別是網絡規模大、環境復雜的網絡不適合
2、 網關模式
由于所有出口數據流都必須經過該網關,因此控制方面可以說是最強大完美而無任何副作用的方式,因此克服了目前所有的采用WINPCAP模式或網絡層驅動模式下的所有弱點;克服了所有監聽模式下阻斷UDP的致命弱點;是網絡監控最理想的模式;
(二)按照管理目標區分為:內網監控和外網監控兩種
1、內網監控的主要目標是管理網內電腦的所有資源和使用過程;比如網內的電腦硬件資源(有什么設備,是否允許使用)、軟件資源(安裝了什么軟件,是否允許使用)、數據資源(有什么重要資料文件、數據、是否被合法使用)、行為操作(對工作的評估、使用電腦的合法性、干了一些什么事情)等等;
2、外網監控的主要目標是監視網內電腦上網內容和管理上網行為;比如網絡監控、郵件監控、上網監控、網頁監控、FTP監控、MSN聊天內容監控、游戲監控、流量監視和限制、QQ/MSN/UC/YAHOO/KUGOO/ICQ/AOL/貿易通等聊天行為監控、自定義監控、TCP/DUP全系列雙向端口監視和控制,BT完美禁止等等;
因此無論是硬件還是軟件方式解決方法,應該包含內網監控和外網監控產品,通過合理的投資代價獲得不斷升級拓展更新對資源和行為管理;硬件在性能上相比軟件來說是比較優勢,但在拓展性、升級更新、投資成本上卻成了最大的麻煩;
五、結束語
本文提供局域網監控軟件大致的實現技術介紹,給予關注局域網網絡監控的人士部署時候策略參考;企業管理人應認識到網絡監控的重要性以及自己可能正被監控的時代來臨。
