一、為什么要使用局域網(wǎng)網(wǎng)絡(luò)監(jiān)控軟件
很多單位很舍得對網(wǎng)絡(luò)以及電腦設(shè)備的投入,但卻不舍得對應(yīng)用軟件特別是安全軟件投入是不恰當(dāng)?shù)模绻M建了性能出色的網(wǎng)絡(luò)環(huán)境以及購買了現(xiàn)代化的辦公設(shè)備,但卻成了沉迷、浪費(fèi)公司人力和財(cái)力;甚至是縱容員工上班時(shí)間做單位之外的事情就成了問題;反而降低了工作效率,甚至導(dǎo)致更大損失;因此網(wǎng)絡(luò)監(jiān)控非常必要;
目前很多單位請了網(wǎng)絡(luò)管理人員還建設(shè)了網(wǎng)站;但是把設(shè)備是管好了,可設(shè)備帶來的方便卻降低了工作效率(都用網(wǎng)絡(luò)干別的事情去了),網(wǎng)絡(luò)帶來的客戶因?yàn)閱T工缺乏管理而可能直接成為了競爭對手的客戶了;因此僅購買設(shè)備是不夠的,僅僅建設(shè)網(wǎng)站也是不夠的,只管理設(shè)備也還是不夠的,還需要把員工使用網(wǎng)絡(luò)的內(nèi)容監(jiān)視和并把網(wǎng)絡(luò)行為管理起來;特別是外貿(mào)企業(yè)、技術(shù)含量較高的企業(yè)(如軟件、工程類)、政府關(guān)鍵部門等等對員工的上網(wǎng)監(jiān)督管理的意義尤為重要。
二、局域網(wǎng)網(wǎng)絡(luò)監(jiān)控軟件主要目標(biāo)
網(wǎng)絡(luò)監(jiān)控系統(tǒng)總體目標(biāo)是能有效防止員工通過網(wǎng)絡(luò)以各種方式泄密,實(shí)現(xiàn)對網(wǎng)絡(luò)電腦及網(wǎng)絡(luò)資源的統(tǒng)一管理和有效監(jiān)控。未經(jīng)授權(quán)不得以各種方式外發(fā)文件、不得上班時(shí)間利用網(wǎng)絡(luò)做不應(yīng)該做的事、并能夠記錄網(wǎng)絡(luò)往來的內(nèi)容(比如外貿(mào)企業(yè)的定單過程),對電腦的各種端口和設(shè)備實(shí)施全面管理和控制,對用機(jī)、上網(wǎng)、收發(fā)郵件、網(wǎng)上聊天和電腦游戲進(jìn)行嚴(yán)格管理與控制;
1.防止并追查重要資料、機(jī)密文件等外泄;
2.監(jiān)督、審查、限制、規(guī)范網(wǎng)絡(luò)使用行為;
3.限制消耗資源的聊天、游戲、外發(fā)資料、BT惡性下載和股票等行為;
4.備份重要網(wǎng)絡(luò)資源文件(比如業(yè)務(wù)郵件);
5.監(jiān)視QQ/MSN聊天記錄內(nèi)容和行為過程;
6.流量限制以及網(wǎng)站訪問統(tǒng)計(jì),用于分析員工使用網(wǎng)絡(luò)情況;
三、網(wǎng)絡(luò)抓包技術(shù)
1.UNIX系統(tǒng)提供了標(biāo)準(zhǔn)的API支持
(1)Packet socket
(2)BPF(主要的流行手段)
A.BSD抓包法
.BPF是一個(gè)核心態(tài)的組件,也是一個(gè)過濾器
.Network Tap接收所有的數(shù)據(jù)包
#p#副標(biāo)題#e#
.Kernel Buffer,保存過濾器送過來的數(shù)據(jù)包
.User buffer,用戶態(tài)上的數(shù)據(jù)包緩沖區(qū)
B.Libpcap(一個(gè)抓包工具庫)支持BPF
.Libpcap是用戶態(tài)的一個(gè)抓包工具
.Libpcap幾乎是系統(tǒng)無關(guān)的
C.BPF是一種比較理想的抓包方案
.在核心態(tài),所以效率比較高,
.但是,只有少數(shù)OS支持(主要是一些BSD操作系統(tǒng))
2.Windows平臺(tái)上通過驅(qū)動(dòng)程序來獲取數(shù)據(jù)包
(1)驅(qū)動(dòng)程序
模式一、在核心層驅(qū)動(dòng),和WINDOWS操作系統(tǒng)核心結(jié)合緊密,效率非常高性能最好;因?yàn)榫W(wǎng)絡(luò)火墻都在網(wǎng)絡(luò)上層運(yùn)行(也就是說在火墻核心層驅(qū)動(dòng)上面運(yùn)行),因此核心層驅(qū)動(dòng)將不受網(wǎng)絡(luò)火墻干擾;
模式二、在網(wǎng)絡(luò)層驅(qū)動(dòng), 雖然自己寫的驅(qū)動(dòng)容易控制管理但性能根本無法與核心層驅(qū)動(dòng)比較;并受防火墻限制和干擾;
(2)WinPcap驅(qū)動(dòng)標(biāo)準(zhǔn)接口(目前國產(chǎn)網(wǎng)絡(luò)監(jiān)控軟件90%采用)
WINPCAP是目前國際標(biāo)準(zhǔn)的接口程序,穩(wěn)定性良好支持100M通訊;但缺點(diǎn)也是同樣明顯的,可控制性很差導(dǎo)致很多功能都無法實(shí)現(xiàn),只能監(jiān)聽模式無法網(wǎng)關(guān)模式導(dǎo)致流量限制、BT限制、UDP阻斷方面等等天生的弱點(diǎn);另外由于WINPCAP版本互相不兼容可能導(dǎo)致無法監(jiān)控,無法識(shí)別千兆網(wǎng)卡或無法讀到網(wǎng)卡列表;只能同時(shí)監(jiān)控單網(wǎng)卡等;
四、網(wǎng)絡(luò)監(jiān)控軟件的解決方案分類比較
(一)按照運(yùn)行原理區(qū)分為:監(jiān)聽模式和網(wǎng)關(guān)模式兩種
1.監(jiān)聽模式
通過抓取總線MAC層數(shù)據(jù)偵方式而獲得監(jiān)聽數(shù)據(jù),并利用網(wǎng)絡(luò)通訊協(xié)議原理而實(shí)現(xiàn)控制的方法;因此監(jiān)聽模式最大的弱點(diǎn)原理性的,也就是說需要如下方法之一來解決安裝問題:
(1)通過共享式HUB(集線器)
#p#副標(biāo)題#e#
這個(gè)模式是一個(gè)比較通用的方法,但由于HUB基本都是10M的,因此在網(wǎng)絡(luò)性能上將很大限制,也意味丟包的危險(xiǎn);目前HUB幾乎到了淘汰的命運(yùn);也不適合大型網(wǎng)絡(luò)環(huán)境,因此是很大局限;
(2)通過鏡像交換機(jī)
可網(wǎng)管的鏡像交換機(jī)首先是比較貴并需要專業(yè)的配置,而目絕大多數(shù)企業(yè)并沒有帶鏡像交換機(jī),另外如果規(guī)模比較小的話(比如30個(gè)電腦一下),那么增加購買鏡像交換機(jī)意味成本的提高,另外有些便宜的交換機(jī)雖然帶鏡像功能,但在鏡像后由于雙向(監(jiān)視和控制)數(shù)據(jù)流處理不完善而導(dǎo)致交換機(jī)瞬間阻塞現(xiàn)象;但相比HUB模式來說,使用鏡像交換機(jī)實(shí)現(xiàn)監(jiān)聽無疑是理想的選擇;
(3)通過代理/網(wǎng)關(guān)服務(wù)器
所以代理/網(wǎng)關(guān)服務(wù)器,就是在這個(gè)電腦通過WINDOWS連接共享設(shè)置、SYGATE、CCPROXY、ISA等,其他電腦通過這個(gè)代理/網(wǎng)關(guān)服務(wù)器分享上網(wǎng);一般都是雙網(wǎng)卡模式;一個(gè)網(wǎng)卡連接外網(wǎng),另外一個(gè)網(wǎng)卡連接內(nèi)網(wǎng),監(jiān)控軟件捆綁內(nèi)網(wǎng)卡;但現(xiàn)在大部分的網(wǎng)絡(luò)已經(jīng)不再使用這個(gè)模式,直接通過路由的NAT上網(wǎng)共享模式;而像ISA這樣的網(wǎng)絡(luò),每個(gè)電腦都要去設(shè)置就足夠麻煩了;而WINPCAP模式下對ISA是無法監(jiān)控的;目前分為:
(a)服務(wù)代理模式:比如CCPROXY
比如設(shè)置上網(wǎng)瀏覽為8080,郵件為8025等等,這樣的代理模式;下面的電腦需要一個(gè)一個(gè)設(shè)置應(yīng)用代理端口,因此已經(jīng)很少人使用了;
(b)透明網(wǎng)關(guān)模式:比如WINROUTER,
網(wǎng)內(nèi)其他電腦設(shè)置默認(rèn)網(wǎng)關(guān)就可;通過NAT地址轉(zhuǎn)換;
(4)ARP欺騙模式
ARP欺騙模式將可以實(shí)現(xiàn)在普通交換機(jī)下的數(shù)據(jù)監(jiān)聽,方法簡單有效,但主要是兩個(gè)弱點(diǎn),一是不適合規(guī)模大的網(wǎng)絡(luò)(建議少于50臺(tái)電腦的環(huán)境);二是會(huì)和網(wǎng)絡(luò)內(nèi)其他的ARP欺騙軟件互相沖突干擾而導(dǎo)致網(wǎng)絡(luò)癱瘓;
因此我們看到,其實(shí)所有的監(jiān)聽模式的解決方法都是不太可靠的,而目前所有使用WINPCAP驅(qū)動(dòng)的網(wǎng)絡(luò)監(jiān)控軟件以及使用網(wǎng)絡(luò)層驅(qū)動(dòng)的軟件都是監(jiān)聽模式;如果要求你前面的3個(gè)安裝方法之一的就肯定是監(jiān)聽模式軟件;不管軟件廠家吹了多少牛欺騙了多少無辜的人;因此真正商業(yè)運(yùn)行的話強(qiáng)烈建議網(wǎng)關(guān)模式;特別是網(wǎng)絡(luò)規(guī)模大、環(huán)境復(fù)雜的網(wǎng)絡(luò)不適合。
#p#副標(biāo)題#e#
2.網(wǎng)關(guān)模式
由于所有出口數(shù)據(jù)流都必須經(jīng)過該網(wǎng)關(guān),因此控制方面可以說是最強(qiáng)大完美而無任何副作用的方式,因此克服了目前所有的采用WINPCAP模式或網(wǎng)絡(luò)層驅(qū)動(dòng)模式下的所有弱點(diǎn);克服了所有監(jiān)聽模式下阻斷UDP的致命弱點(diǎn);是網(wǎng)絡(luò)監(jiān)控最理想的模式;
(二)按照管理目標(biāo)區(qū)分為:內(nèi)網(wǎng)監(jiān)控和外網(wǎng)監(jiān)控兩種
1、內(nèi)網(wǎng)監(jiān)控的主要目標(biāo)是管理網(wǎng)內(nèi)電腦的所有資源和使用過程;比如網(wǎng)內(nèi)的電腦硬件資源(有什么設(shè)備,是否允許使用)、軟件資源(安裝了什么軟件,是否允許使用)、數(shù)據(jù)資源(有什么重要資料文件、數(shù)據(jù)、是否被合法使用)、行為操作(對工作的評(píng)估、使用電腦的合法性、干了一些什么事情)等等;
2、外網(wǎng)監(jiān)控的主要目標(biāo)是監(jiān)視網(wǎng)內(nèi)電腦上網(wǎng)內(nèi)容和管理上網(wǎng)行為;比如網(wǎng)絡(luò)監(jiān)控、郵件監(jiān)控、上網(wǎng)監(jiān)控、網(wǎng)頁監(jiān)控、FTP監(jiān)控、MSN聊天內(nèi)容監(jiān)控、游戲監(jiān)控、流量監(jiān)視和限制、QQ/MSN/UC/YAHOO/KUGOO/ICQ/AOL/貿(mào)易通等聊天行為監(jiān)控、自定義監(jiān)控、TCP/DUP全系列雙向端口監(jiān)視和控制,BT完美禁止等等;
因此無論是硬件還是軟件方式解決方法,應(yīng)該包含內(nèi)網(wǎng)監(jiān)控和外網(wǎng)監(jiān)控產(chǎn)品,通過合理的投資代價(jià)獲得不斷升級(jí)拓展更新對資源和行為管理;硬件在性能上相比軟件來說是比較優(yōu)勢,但在拓展性、升級(jí)更新、投資成本上卻成了最大的麻煩;
五、結(jié)束語
本文提供局域網(wǎng)監(jiān)控軟件大致的實(shí)現(xiàn)技術(shù)介紹,給予關(guān)注局域網(wǎng)網(wǎng)絡(luò)監(jiān)控的人士部署時(shí)候策略參考;企業(yè)管理人應(yīng)認(rèn)識(shí)到網(wǎng)絡(luò)監(jiān)控的重要性以及自己可能正被監(jiān)控的時(shí)代來臨。
