До появления данной работы вопросы эксплуатации программного обеспечения комплекса сетевого мониторинга и аудита обсуждались [1-7] применительно к стационарному варианту. Однако, обозначив одну из важных функций сетевого мониторинга как вопрос экономических приложений [1], до последнего года автор не имел возможности проверить на реальном опыте многие технологические процессы, сопровождающие развертывание и установку наблюдающих средств на новом месте, особенности их эксплуатации и формирование заключительного отчета. Между тем, быстрота ввода в эксплуатацию разработанных средств на новом месте являются одной из важных эксплуатационных характеристик наблюдающей станции (НС).
В августе 2004 г. автору представилась возможность испытать разработку в сфере прикладной экономики. Одна из малых фирм грузоперевозок обратилась с просьбой проверить счета, присылаемые на оплату провайдером. По условиям договора, оплачивается только входящий трафик фирмы, причем взимается фиксированная оплата за трафик в рамках договора и существенно повышенная за превышение трафика. Заказчику представлялось, что в течение нескольких месяцев провайдер существенно завышает их входящий трафик.
Исследованиям подверглась рабочая среда в виде 4х ПК, объединенных в локальную сеть с помощью стандартного 5-портового концентратора типа switch фирмы 3Com. К этому же концентратору подключался разъем от гейта (рис. 18).
Рис. 18. Исходная схема исследуемой рабочей группы
В качестве средства исследования использован системный блок мобильной НС на основе Everex Pentium-120 с заимствованной на месте клавиатурой. На время настройки был подключен монитор. В целях полноты фиксации всех проходящих в сети пакетов имевшийся концентратор был заменен на Hub Link Pro Dual 8 10/100. Результирующая схема приведена на рис. 19.
Рис. 19. Схема рабочей группы, модифицированная для измерений
НС была установлена открыто, но ее функции всем сотрудникам не сообщались. Экран подключался к системному блоку только на период настройки и снятия результатов.
Настройка НС состояла в следующем. Заказчик знал ip-адрес гейта и локальные ip-адреса всех сотрудников, но не мог сообщить MAC-адреса (с которыми работает программное обеспечение НС). Тестовый запуск НС в режиме собирания информации позволил в считанные минуты определить по излучаемому бродкастингу (на экране просмотра пакетов [5]) MAC-адреса всех сотрудников и провайдера. Далее база была откорректирована в текстовом режиме с помощью Volkov Commander, были сделаны необходимые установки в BAT-файле и запущен рабочий режим. Вся процедура настройки заняла не более 10 минут.
Все ПК сотрудников были протестированы на вирусы современными антивирусными средствами. На 2х ПК были обнаружены вирусы, но не сетевого класса, так что гипотеза о вирусной активности подтверждения не получила. Анализ первых суток работы НС не показал в сети наличия пакетов с посторонними ip-адресами, излучаемыми вне гейта. Не оказалось также излучения UDP- и ICMP-пакетов, характерных для сетевых вирусов. Таким образом, вторая гипотеза отпала.
Замеры исполнялись в течение 3х неполных суток. Для облегчения последующих подсчетов, вследствие сравнительно небольшого трафика НС была сконфигурирована на выдачу 1 полного отчета в час. Пример отчета приведен на рис. 20.
Рис. 20. Фрагмент отчета наблюдающей станции от 10.06.2004 за 14:00:00
После получения замеров за полный рабочий день был осуществлен сводный подсчет результатов по всем отчетам, и эти данные сравнены с данными провайдера за те же сутки, полученными специальным запросом. Интересуемые данные находились в секции «Сведения о трафике выделенных нод». Непосредственно под строкой «ПРОВАЙД-Испущено», дававшей общий объем выкачанной информации из Интернета, идет раскладка по отдельным ПК, кто сколько скачал. Разумеется, были выделены все ноды для получения подробных данных, тем более что один из компьютеров (Дима) использовался как базовый ПК для получения почты и вынужденно показывал заметный трафик.
Интересуемые данные за два отчетных дня представлены в таблице 7.
Табл. 7. Сводные данные о закачках от провайдера за 09.06.2004 и 10.06.2004
Таким образом, результаты подтвердили последнюю из названных гипотез, причем замеры с помощью НС показали даже несколько большие значения, чем данные провайдера. Существенное (в 4-5 раз) превышение априорной оценки было вызвано неожиданно высоким входным трафиком, поступающим на один из ПК рабочей группы.
Следует сказать, что психологически ни заказчик, ни автор данной работы не были готовы к полученному результату; в априорном обсуждении нам представлялась наиболее вероятной первая из гипотез. В полученном же результате заказчика стал интересовать естественный вопрос, нельзя ли выяснить, какие узлы Интернета вызывались наиболее «общительным» из сотрудников и с какой целью.
Надо сказать, что в цели разработки программного обеспечения НС, определенные в 1999 г., не входило отслеживать или каким-либо иным образом протоколировать контакты пользователей с сайтами Интернета. Однако, все же имелось 2 исключения из этого правила. Во-первых, POP3-сеансы получения почты могли и, разумется, протоколировались в описываемом экспресс-анализе (подробнее см. [8]). Во-вторых, с самого начала разработки имелась технологическая возможность дампирования пакетов, входящих и/или исходящих от определенного MAC-адреса. Вследствие этого наблюдение по согласованию с заказчиком было решено продлить еще на день, и включить дампинг всех приходящих на интересующий MAC-адрес сетевых пакетов.
В результате были получены неопровержимые доказательства того, что один из сотрудников в рабочее время за счет фирмы занимается посторонней деятельностью, посещает не связанные с его служебной необходимостью сайты и ведет внеслужебную переписку, что приводит к существенным дополнительным расходам фирмы на оплату сверхлимитного трафика. Заказчику были предоставлены адреса и www-имена сайтов, посещенных сотрудником; для требующих авторизации сайтов сообщены логины и пароли, под которыми данный сотрудник был на них зарегистрирован; при необходимости могли бы быть предоставлены и фрагменты почтовой пересылки. Вся информация была предоставлена исключительно на основании протоколов наблюдения; какой-либо анализ данных в компьютере сотрудника не проводился. Однако, заказчику было разъяснено, каким образом можно найти нужные материалы на ПК, с которого действовал сотрудник.
Следует отметить, что указанный способ включения НС не являлся единственно возможным. Для проверки поставленной гипотезы, строго говоря, было достаточно включения хаба с отводом к НС в разрыв цепи от провайдера к распределительному концентратору. Принятая в данном случае схема учитывала желание автора статьи получить также полные данные о межкомпьютерных пересылках в фирме. Рассмотрение этого вопроса выходит за рамки данной работы, предоставив автору, однако, материал для совершенствования программного обеспечения НС.
В целом, имеющееся программное обеспечение НС пригодно для качественного экспресс-анализа локальных сетей даже при использовании на маломощных компьютерах. Для получения количественных показателей с достаточной степенью точности (95% и выше) следует использовать более мощный ПК.
(X)Работа выполнена при финансовой поддержке РФФИ, проект N 04-07-90260в