计算机网络的普及应用已渗透到社会各个层面,给社会带来便利的同时也随之带来的安全和管理问题。互联网络是一把双刃剑;就如一个企业而言有些员工利用工作时间看新闻、玩游戏、干私活、聊天、泄密公司资料、炒股票、下电影、听歌曲、浏览色情站点、甚至在公司网上边拿老板工资边找工作等等。不仅仅消耗公司资源,更是因为影响公司效率、泄露公司机密、甚至丢失客户资源令人痛心。而利用局域网网络监控软件这非常有效的管理辅助手段并和企业的内部管理机制结合达到更加事半功倍的效果,已经成为大家的共识。
一、为什么要使用局域网网络监控软件?
很多单位很舍得对网络以及电脑设备的投入,但却不舍得对应用软件特别是安全软件投入是不恰当的,如果组建了性能出色的网络环境以及购买了现代化的办公设备,但却成了沉迷、浪费公司人力和财力;甚至是纵容员工上班时间做单位之外的事情就成了问题;反而降低了工作效率,甚至导致更大损失;因此网络监控非常必要;
目前很多单位请了网络管理人员还建设了网站;但是把设备是管好了,可设备带来的方便却降低了工作效率(都用网络干别的事情去了),网络带来的客户因为员工缺乏管理而可能直接成为了竞争对手的客户了;因此仅购买设备是不够的,仅仅建设网站也是不够的,只管理设备也还是不够的,还需要把员工使用网络的内容监视和并把网络行为管理起来;特别是外贸企业、技术含量较高的企业(如软件、工程类)、政府关键部门等等对员工的上网监督管理的意义尤为重要。
二、局域网网络监控软件主要目标:
网络监控系统总体目标是能有效防止员工通过网络以各种方式泄密,实现对网络电脑及网络资源的统一管理和有效监控。未经授权不得以各种方式外发文件、不得上班时间利用网络做不应该做的事、并能够记录网络往来的内容(比如外贸企业的定单过程),对电脑的各种端口和设备实施全面管理和控制,对用机、上网、收发邮件、网上聊天和电脑游戏进行严格管理与控制;
1、防止并追查重要资料、机密文件等外泄;
2、监督、审查、限制、规范网络使用行为;
3、限制消耗资源的聊天、游戏、外发资料、BT恶性下载和股票等行为;
4、备份重要网络资源文件(比如业务邮件);
5、监视QQ/MSN聊天记录内容和行为过程;
6、流量限制以及网站访问统计,用于分析员工使用网络情况;
三、网络抓包技术:
1、UNIX系统提供了标准的API支持
(1)Packet socket
(2)BPF(主要的流行手段)
A、BSD抓包法
.BPF是一个核心态的组件,也是一个过滤器
.Network Tap接收所有的数据包
.Kernel Buffer,保存过滤器送过来的数据包
.User buffer,用户态上的数据包缓冲区
B、Libpcap(一个抓包工具库)支持BPF
.Libpcap是用户态的一个抓包工具
.Libpcap几乎是系统无关的
C、BPF是一种比较理想的抓包方案
.在核心态,所以效率比较高,
.但是,只有少数OS支持(主要是一些BSD操作系统)
2、Windows平台上通过驱动程序来获取数据包
(1)驱动程序
模式一、在核心层驱动,和WINDOWS操作系统核心结合紧密,效率非常高性能最好;因为网络火墙都在网络上层运行(也就是说在火墙核心层驱动上面运行),因此核心层驱动将不受网络火墙干扰;
模式二、在网络层驱动, 虽然自己写的驱动容易控制管理但性能根本无法与核心层驱动比较;并受防火墙限制和干扰;
(2)WinPcap驱动标准接口(目前国产网络监控软件90%采用)
WINPCAP是目前国际标准的接口程序,稳定性良好支持100M通讯;但缺点也是同样明显的,可控制性很差导致很多功能都无法实现,只能监听模式无法网关模式导致流量限制、BT限制、UDP阻断方面等等天生的弱点;另外由于WINPCAP版本互相不兼容可能导致无法监控,无法识别千兆网卡或无法读到网卡列表;只能同时监控单网卡等;
四、网络监控软件的解决方案分类比较:
(一)按照运行原理区分为:监听模式和网关模式两种
1、 监听模式
通过抓取总线MAC层数据侦方式而获得监听数据,并利用网络通讯协议原理而实现控制的方法;因此监听模式最大的弱点原理性的,也就是说需要如下方法之一来解决安装问题:
(1)通过共享式HUB(集线器)
这个模式是一个比较通用的方法,但由于HUB基本都是10M的,因此在网络性能上将很大限制,也意味丢包的危险;目前HUB几乎到了淘汰的命运;也不适合大型网络环境,因此是很大局限;
(2)通过镜像交换机
可网管的镜像交换机首先是比较贵并需要专业的配置,而目绝大多数企业并没有带镜像交换机,另外如果规模比较小的话(比如30个电脑一下),那么增加购买镜像交换机意味成本的提高,另外有些便宜的交换机虽然带镜像功能,但在镜像后由于双向(监视和控制)数据流处理不完善而导致交换机瞬间阻塞现象;但相比HUB模式来说,使用镜像交换机实现监听无疑是理想的选择;
(3)通过代理/网关服务器
所以代理/网关服务器,就是在这个电脑通过WINDOWS连接共享设置、SYGATE、CCPROXY、ISA等,其他电脑通过这个代理/网关服务器分享上网;一般都是双网卡模式;一个网卡连接外网,另外一个网卡连接内网,监控软件捆绑内网卡;但现在大部分的网络已经不再使用这个模式,直接通过路由的NAT上网共享模式;而像ISA这样的网络,每个电脑都要去设置就足够麻烦了;而WINPCAP模式下对ISA是无法监控的;目前分为:
(a)服务代理模式:比如CCPROXY
比如设置上网浏览为8080,邮件为8025等等,这样的代理模式;下面的电脑需要一个一个设置应用代理端口,因此已经很少人使用了;
(b)透明网关模式:比如WINROUTER,
网内其他电脑设置默认网关就可;通过NAT地址转换;
(4)ARP欺骗模式
ARP欺骗模式将可以实现在普通交换机下的数据监听,方法简单有效,但主要是两个弱点,一是不适合规模大的网络(建议少于50台电脑的环境);二是会和网络内其他的ARP欺骗软件互相冲突干扰而导致网络瘫痪;
因此我们看到,其实所有的监听模式的解决方法都是不太可靠的,而目前所有使用WINPCAP驱动的网络监控软件以及使用网络层驱动的软件都是监听模式;如果要求你前面的3个安装方法之一的就肯定是监听模式软件;不管软件厂家吹了多少牛欺骗了多少无辜的人;因此真正商业运行的话强烈建议网关模式;特别是网络规模大、环境复杂的网络不适合
2、 网关模式
由于所有出口数据流都必须经过该网关,因此控制方面可以说是最强大完美而无任何副作用的方式,因此克服了目前所有的采用WINPCAP模式或网络层驱动模式下的所有弱点;克服了所有监听模式下阻断UDP的致命弱点;是网络监控最理想的模式;
(二)按照管理目标区分为:内网监控和外网监控两种
1、内网监控的主要目标是管理网内电脑的所有资源和使用过程;比如网内的电脑硬件资源(有什么设备,是否允许使用)、软件资源(安装了什么软件,是否允许使用)、数据资源(有什么重要资料文件、数据、是否被合法使用)、行为操作(对工作的评估、使用电脑的合法性、干了一些什么事情)等等;
2、外网监控的主要目标是监视网内电脑上网内容和管理上网行为;比如网络监控、邮件监控、上网监控、网页监控、FTP监控、MSN聊天内容监控、游戏监控、流量监视和限制、QQ/MSN/UC/YAHOO/KUGOO/ICQ/AOL/贸易通等聊天行为监控、自定义监控、TCP/DUP全系列双向端口监视和控制,BT完美禁止等等;
因此无论是硬件还是软件方式解决方法,应该包含内网监控和外网监控产品,通过合理的投资代价获得不断升级拓展更新对资源和行为管理;硬件在性能上相比软件来说是比较优势,但在拓展性、升级更新、投资成本上却成了最大的麻烦;
五、结束语
本文提供局域网监控软件大致的实现技术介绍,给予关注局域网网络监控的人士部署时候策略参考;企业管理人应认识到网络监控的重要性以及自己可能正被监控的时代来临。