В наш информационный век самым ценным товаром является информация. Зачастую конкуренты не гнушаются самых нечестных способов борьбы за первенство. Например, подкупа работника с целью получения конфиденциальной информации. А если учесть, что в современном офисе существует масса средств для осуществления скрытной передачи данных за его пределы, то встает вопрос: каким образом можно контролировать офисные информационные потоки? Безусловно, все пути отследить невозможно, но самые удобные можно легко взять под контроль.
На сегодняшний день самыми распространенными офисными системами передачи данных являются клиенты электронной почты, программы для обмена мгновенными сообщениями (ICQ, MSN, IRC, Jabber, Yahoo IM), IP-телефония, а также программы, работающие по протоколам FTP и HTTP. Все это многообразие вариантов объединяет одно — передача информации идет по локальной офисной сети. Следовательно, для контроля за ними системному администратору достаточно установить программу-сниффер (слушатель). Программ, осуществляющих прослушивание локальной сети предприятия, великое множество, зачастую они либо обладают избыточной функциональностью (способны отслеживать самые различные параметры сети, обладают большим количеством сложных фильтров и настроек), либо, наоборот, не имеют возможности отслеживать требуемые протоколы.
Заслуженный производитель программ для работы с локальной сетью компания TamoSoft представила на суд пользователей свою разработку NetResident, специально предназначенную для контроля передаваемых по сети данных. Данная система позволяет отслеживать передаваемые данные, осуществлять выборочный контроль, имеет в наличии мощную систему фильтров, инструмент поиска, гибкую схему отображения наблюдаемых узлов сети, а также возможность экспорта накопленных данных для дальнейшей обработки. Сама система состоит из двух частей: сервис и консоль. Консоль подключается к сервису, обрабатывает данные, группирует их и предоставляет их пользователю.
Как у всех программ TamoSoft, интерфейс "Резидента" весьма прост и функционален. Внешний вид приложения можно изменять, но в целом главное окно приложения разбито на три секции, в каждой из которых представлены структурированные данные.
В каждой секции можно производить сортировку и фильтрацию сетевых событий и получать к ним быстрый доступ. В левой части находится список групп, которые показывают события, объединенные по датам их наступления, сетевым протоколам и хостам, задействованным в обмене информацией. В правой части — список событий. Хосты сгруппированы по сторонам, участвующим в процессе обмена.
В NetResident есть еще один вид отображения событий — "Проводник". Данный вид очень похож на "Группы", с тем отличием, что в режиме "Проводник" события сгруппированы по протоколам. Этот способ представления удобен в том случае, если вы хотите просмотреть события по определенному протоколу, например WEB. Список событий состоит из времени и даты регистрации события, времени и даты его обновления, сторон, протокола, входящих и исходящих портов, а также описания события. В секции "Детальная информация" показано реальное содержимое выбранного события из списка "События". Кстати, переключение между видами отображения можно осуществлять не только через главное меню программы, но и используя соответствующие кнопки на панели информации. Для того чтобы программа начала сбор информации, требуется настроить ее. В зависимости от квалификации пользователя и конфигурации сети можно воспользоваться двумя способами настройки. Первый способ — это использование соответствующего пункта в главном меню. Второй способ, не требующий специальной подготовки, заключается в использовании мастера настройки. Все настройки, относящиеся к функциональности программы, сведены в пункте главного меню "Настройки" в разделе "Сеть". Пользователь может выбрать вариант запуска сервиса (автоматически или при старте программы), наблюдаемый интерфейс и наблюдаемые станции; также доступен выбор плагинов, за которыми ведется наблюдение. В диалоге "Наблюдаемые станции" можно выбрать компьютеры в сети для наблюдения. Выбор можно осуществить по IP-адресу, по MAC-адресу, а также по диапазону IP-адресов. Также программа позволяет выбрать только активные станции за последний час. Для увеличения производительности можно указать модулю мониторинга, какие порты он должен прослушивать (по умолчанию мониторинг осуществляется по всем портам). NetResident предоставляет возможность удаленного мониторинга. В том же разделе "Сеть" можно установить пароль для подключения удаленного клиента. В случае если вы не знаете адреса сети или у вас нет опыта настройки подобных программ, стоит воспользоваться мастером настройки.
Стоит отметить, что ключом к успешному мониторингу является так называемая прозрачность сетевого трафика. Если вам требуется наблюдать лишь один компьютер в сети, то достаточно установить систему на нем. Однако, если вы хотите осуществлять мониторинг сразу нескольких компьютеров в локальной сети, важно понять, каким образом достичь прозрачности сети, то есть способности видеть трафик с разных машин из одной точки наблюдения. В целом для мониторинга других компьютеров в вашей локальной сети вам потребуется либо установить NetResident на шлюзе, либо использовать коммутатор с функцией зеркалирования портов. Существует множество конфигураций сети, так что если вы — новичок в области сетевого мониторинга, то советуем прочитать подробную статью с поясняющими иллюстрациями, которая называется Promiscuous Monitoring in Ethernet and Wi-Fi Networks.
Итак, система настроена и готова к работе. Вы выбрали нужные протоколы для мониторинга и запустили программу. Пришло время для анализа и систематизации собранных данных. В зависимости от размера локальной сети и активности пользователей в программе может накапливаться весьма большой объем сведений. Для фильтрации и упорядочивания данных в NetResident существует несколько возможностей. Во первых, это переключаемые виды "Проводник" и "Группы". Какой из них выбрать, зависит от пользователя. В секции "Группы" есть возможность оперативно отфильтровать события по дате, сторонам, участвующим в обмене, или по хостам. Например, вы захотели просмотреть только веб-страницы, загруженные в определенный день с определенного сервера. Для этого достаточно в секции "Дата" выбрать дату, в секции протоколов выбрать "WEB", а в разделе "Сторона В" указать интересующий вас хост. Все остальные события будут проигнорированы. Более гибкие фильтры можно создавать в соответствующем пункте главного меню ("События — Фильтр") или в панели инструментов. Здесь можно выбрать нужный временной интервал, от предопределенных (день, неделя, месяц и так далее) до собственных временных отрезков. Используя дополнительные возможности, можно отфильтровать события по плагинам (протоколам) или по станциям (отдельным компьютерам, диапазону, MAC-адресу или списку). Для удобства наблюдения в системе существует редактор псевдонимов. В нем можно задать псевдонимы для наблюдаемых станций. Для их создания достаточно воспользоваться диалогом или контекстным меню в секции "События". Кстати, некоторые плагины возможно настраивать, что повышает эффективность работы с ними. К примеру, настройка плагина HTTP позволяет существенно повысить быстродействие программы, а также отфильтровать заведомо ненужную информацию. Отображение веб-страницы требует большого количества дополнительных файлов, которые автоматически подгружаются браузером при открытии данной страницы. Этот фильтр скрывает все дополнительные файлы, тем самым сокращая количество показанных записей. Используя диалог настройки фильтра, во вкладке "Плагины", нужно выбрать опцию изменения настроек "Web".
Тонкая настройка позволяет указать, какие типы файлов будут (или не будут) показаны как сетевые события, а также установить минимальный размер изображения. Во многих компаниях некоторые адреса сайтов (например, корпоративные) посещаются сотрудниками очень часто. Чтобы исключить их, можно включить фильтрацию по адресам сайтов. Причем исключать можно по маске, например: .org$ — скрыть все сайты с доменом .ORG или d — скрыть все сайты, в названиях которых есть хоть одна цифра. Данные возможности могут весьма облегчить восприятие и дальнейший анализ собранных данных.
Итак, система NetResident. Она похожа на сетевой анализатор, но у программы есть отличительная особенность — ориентация на протоколы высокого уровня, которые используются для передачи данных через Интернет или локальную сеть. Работая с NetResident, вам не потребуется глубокое понимание сетевых технологий, а также не придется пользоваться сложными программами или исследовать содержимое пакета для восстановления исходных данных. Всю эту работу за вас выполняет программа, предоставляя на выходе веб-страницы, сообщения электронной почты и коммуникационных программ или загруженные файлы. Она предназначена для сетевых администраторов, которые действуют в области обеспечения информационной безопасности, для родителей, которые хотят быть в курсе того, чем их дети заняты в Интернете, а также для всех остальных пользователей, которым не безразлична информация, проходящая по их коммуникационным сетям.
