Описание компоненты

Комплексная система конфигурирования сетевого фильтра и сбора детальной статистики по сетевому трафику призвана удовлетворить требования безопасности подключения внутренней сети/сервера к внешней сети и предоставить заинтересованным лицам информацию о потреблении трафика

Конфигуратор сетевого фильтра позволяет обеспечивает удобное конфигурирование правил разрешённого и запрещённого трафика, в т.ч. "черные списи", разделяемые по подсетям (зонам тарификации трафика) секции фильтрации и сетевой трансляции, а также гибкое конфигурирование механизмов сбора статистики

Выделяемые в различные конфигурационные секции виды трафика обрабатываются детализирующими правилами по критериям IP адресов, портов и протоколов, чего достаточно в типовых вариантах использования сетевого фильтра. Кроме того, реализация конфигуратора предусматривает возможность подключения групп не типовых конфигурационных правил для обеспечения не типовых потенциальных потребностей

Статистическая информация, собираемая модулем, может быть использована для контроля выставляемых провайдером счетов, контроля за использованием ресурсов Intenet сотрудниками, проведения внутренних IT расследований, позволяет оптимизировать затраты на трафик Internet и отследить несанкционированное использование ресурсов Internet

Интерактивный построитель запросов позволяет получить большое количество сгруппированной различными вариантами информации для получения полной картины использования сетевого трафика. Существующие предустановленные запросы позволяют оперативно получить наиболее часто требуемые группировки статистической информации

Система предоставляет избыточный объём информации, обеспечивая этим самым большое количество потенциальных потребностей. В то же время серьёзный анализ предоставляемой системой информации лучше поручить грамотному специалисту, который сумеет учесть множество не очевидных деталей и предоставить руководству развёрнутую картину использования ресурсов сети и сервера, а в случае необходимости - грамотно прокомментировать проведенный анализ

Архитектура компоненты

Архитектура в настоящее время представлена вручную нарисованной диаграммой с указанием имени каждого модуля компоненты:

Экранные формы

Технологические нюансы

Ряд нюансов по конфигурации ядра ОС и конфигурированию Ulogd учтены в типовом коммуникационном сервере ТикСер БЕССТ. Эти нюансы повышают быстродействие и отодвигают границы потери статистики в пространстве пользователя при полной утилизации CPU сервера

опции цели ULOG изменены   - ulog-qtreshold=50 (было 1) и ulog-cprange=0
опции модуля ядра ipt_ULOG - в modules.conf и modprobe.conf
конфигурация ulogd         - параметры буферов rmem=1024000 и bufsize=12048000

Скачать для личного некоммерческого использования

Внимание ! Опубликованные на настоящем сайте программы для ЭВМ являются объектом авторского права и защищены законами РФ и международными соглашениями о защите авторских прав. Для получения ограниченного неисключительного права на использование этих программ для ЭВМ вам необходимо ознакомиться и полностью принять условия лицензионного договора

Для целей донесенния информации лицензионного договора до ПОСЕТИТЕЛЯ ссылки на лицензионный договор на русском языке расположены в верхней части большинства страниц настоящего САЙТА, непосредственно в том же разделе страницы, где расположены ссылки на скачивание, а также в каждом программном файле. Также в каждом программном файле расположено уведомление о защите авторских прав на английском языке

В случае, когда код публикуется под GPL лицензией, об этом говорится явно

Типовые технические решения

Функциональность компоненты в первую очередь определяется базовым сетевым фильтром, которым в Linux является Netfilter. Netfilter - это мощный многофункциональный сетевой фильтр, который предоставляет возможности обработки проходящего IP трафика по множеству параметров, а также разнообразные виды обработки трафика. Надстройки и технологические решения компоненеты используют определенное подмножество возможностей Netfilter (далеко не все), обеспечивая решение следующих типовых задач:

Фильтрация трафика - основа построения периметра информационной безопасности

Сетевой фильтр (firewall) разрешает прохождение только разрешённого по определённым параметрам трафика (адреса, протоколы, порты для отправителя и получателя пакетов). Кроме того, разрешённый трафик учитывается системой статистики. Неразрешённый трафик учитывается системой статистики и блокируется

Модуль позволяет отсечь на начальном этапе определённую активность по несанкционированному проникновения как во внутреннюю сеть, так и в Интернет из локальной сети, а в совокупности с модулями статистики - обеспечивают законченное решение по организации граничного шлюза между локальной сетью и Интернет

Сетевая трансляция (SNAT) - механизм организации доступа многих пользователей (сотрудников) к Интернет через общую точку подключения

Подключение к Интернет обычно одно, но работать через него нужно множеству пользователей сразу. Для типовых сервисов правильнее использовать развернутые с локальной сети сервера - посредники, как почтовый сервер, прокси сервер и т.п. Однако сервера - посредники могут использоваться и предпочтительны только в части случаев

Универсальным решением является использование механизма "трансляции адреса отправителя", известного также как SNAT или маскарадинг, и позволяющего "спрятать" за одним видимым из Интернет адресом организации локальную сеть, и предоставить пользователям сети возможность одновременного доступа к ресурсам Интернет

Статистика IP трафика - механизм журналирования работы компоненты и построения статистических отчётов

Компонента сохраняет большой объём информации об обработанном трафике и производит многоуровневую обработку и агрегирование, обеспечивающие возможность хранения данных за большие временные промежутки и сохранением максимально возможной детализации

Доступ к статистическим данным может быть получен как посредством использования построителей типовых отчётов, наиболее часто востребованных пользователями, так и более гибким, но и более сложным, интерактивным построителем запросов к данным статистики

Статистические модули могут предоставить разнообразнейшую информацию о прошедшем через компоненту трафике, в т.ч. в разрезах по протоколам, портам, адресам и датам, с возможностями группировки и суммирования данных информационных разделов

Модуль конфигуратора - упрощает процедуру конфигурирования компоненты и упорядочивает процесс разработки правил сетевого фильтра

Управление настройками компоненты производится модулем конфигурирования, читающем данные из конфигурационного файла и проводящим конфигурирование сетевого фильтра netfilter и конфигурирование надстроек, в т.ч. модулей статистики и модулей предоставления данных через WEB консоль

Логика, положенная в основу работы конфигуратора фильтрующей функциональности, состоит в выделении подсетей, к каждой из которых применяются настройки дополнительной фильтрации отдельно для ролей "клиент" и "сервер" по параметрам протоколов, портов и адресов отправителя и получателя, а также ведётся раздельный статистический учет. Аналогична и логика организации конфигуратора сетевой трансляции SNAT, а также секций предварительных ограничений и фильтрации по "черным спискам"