Monitoreo del tráfico de la red local

23.05.16 45.3K

Muchos administradores de red suelen encontrar problemas que pueden resolverse analizando el tráfico de la red. Y aquí nos encontramos con el concepto de analizador de tráfico. ¿Así que qué es lo?

Los analizadores y recopiladores de NetFlow son herramientas que le ayudan a monitorear y analizar los datos del tráfico de la red. Los analizadores de procesos de red le permiten identificar con precisión los dispositivos que reducen el rendimiento del canal. Saben cómo encontrar áreas problemáticas en su sistema y mejorar la eficiencia general de la red.

El término " flujo neto" se refiere a un protocolo de Cisco diseñado para recopilar información sobre el tráfico IP y monitorear el tráfico de la red. NetFlow se ha adoptado como protocolo estándar para tecnologías de transmisión.

El software NetFlow recopila y analiza datos de flujo generados por enrutadores y los presenta en un formato fácil de usar.

Varios otros proveedores de equipos de red tienen sus propios protocolos para monitoreo y recopilación de datos. Por ejemplo, Juniper, otro proveedor de dispositivos de red muy respetado, llama a su protocolo " Flujo J". HP y Fortinet utilizan el término " s-flujo". Aunque los protocolos se llaman de forma diferente, todos funcionan de forma similar. En este artículo, veremos 10 analizadores de tráfico de red y recopiladores de NetFlow gratuitos para Windows.

Analizador de tráfico NetFlow en tiempo real de SolarWinds

Free NetFlow Traffic Analyzer es una de las herramientas más populares disponibles para descarga gratuita. Le brinda la posibilidad de ordenar, etiquetar y mostrar datos de diversas formas. Esto le permite visualizar y analizar cómodamente el tráfico de la red. La herramienta es excelente para monitorear el tráfico de la red por tipo y período de tiempo. Además de ejecutar pruebas para determinar cuánto tráfico consumen varias aplicaciones.

Esta herramienta gratuita está limitada a una interfaz de monitoreo NetFlow y solo almacena 60 minutos de datos. Este analizador Netflow es una herramienta poderosa que vale la pena usar.

Colasoft Capsa Gratis

Este analizador de tráfico LAN gratuito identifica y monitorea más de 300 protocolos de red y le permite crear informes personalizados. Incluye seguimiento de correo electrónico y gráficos de secuencia. Sincronización TCP, todo esto se recopila en un panel personalizable.

Otras características incluyen análisis de seguridad de la red. Por ejemplo, seguimiento de ataques DoS/DDoS, actividad de gusanos y detección de ataques ARP. Así como decodificación de paquetes y visualización de información, datos estadísticos sobre cada host de la red, control de intercambio de paquetes y reconstrucción de flujo. Capsa Free es compatible con todas las versiones de 32 y 64 bits de Windows XP.

Requisitos mínimos del sistema para la instalación: 2 GB de RAM y un procesador de 2,8 GHz. También debe tener una conexión Ethernet a Internet ( Cumple con NDIS 3 o superior), Fast Ethernet o Gigabit con controlador de modo mixto. Le permite capturar pasivamente todos los paquetes transmitidos a través de un cable Ethernet.

Escáner IP enojado

Es un analizador de tráfico de Windows de código abierto que es rápido y fácil de usar. No requiere instalación y se puede utilizar en Linux, Windows y Mac OSX. Esta herramienta funciona simplemente haciendo ping a cada dirección IP y puede determinar direcciones MAC, escanear puertos, proporcionar información NetBIOS, determinar el usuario autorizado en sistemas Windows, descubrir servidores web y mucho más. Sus capacidades se amplían mediante complementos de Java. Los datos escaneados se pueden guardar en archivos CSV, TXT y XML.

ManageEngine NetFlow Analizador Profesional

Una versión con todas las funciones del software NetFlow de ManageEngines. Se trata de un potente software con un conjunto completo de funciones de análisis y recopilación de datos: seguimiento del rendimiento del canal en tiempo real y alertas cuando se alcanzan valores umbral, lo que permite administrar procesos rápidamente. Además, proporciona datos resumidos sobre el uso de recursos, monitoreo de aplicaciones y protocolos, y mucho más.

La versión gratuita del analizador de tráfico de Linux permite el uso ilimitado del producto durante 30 días, después de los cuales sólo podrá monitorear dos interfaces. Los requisitos del sistema para NetFlow Analyzer ManageEngine dependen del caudal. Los requisitos recomendados para una velocidad de flujo mínima de 0 a 3000 subprocesos por segundo son un procesador de doble núcleo de 2,4 GHz, 2 GB de RAM y 250 GB de espacio disponible en el disco duro. A medida que aumenta la velocidad del flujo a controlar, también aumentan los requisitos.

El tío

Esta aplicación es un monitor de red popular desarrollado por MikroTik. Escanea automáticamente todos los dispositivos y recrea un mapa de red. The Dude monitorea los servidores que se ejecutan en varios dispositivos y le avisa si surgen problemas. Otras características incluyen el descubrimiento y visualización automáticos de nuevos dispositivos, la capacidad de crear mapas personalizados, acceso a herramientas para la administración remota de dispositivos y más. Se ejecuta en Windows, Linux Wine y MacOS Darwine.

Analizador de red JDSU Fast Ethernet

Este programa analizador de tráfico le permite recopilar y ver rápidamente datos de la red. La herramienta brinda la capacidad de ver usuarios registrados, determinar el nivel de uso del ancho de banda de la red por parte de dispositivos individuales y encontrar y corregir errores rápidamente. Y también capturar datos en tiempo real y analizarlos.

La aplicación admite la creación de gráficos y tablas muy detallados que permiten a los administradores monitorear anomalías del tráfico, filtrar datos para examinar grandes volúmenes de datos y mucho más. Esta herramienta para profesionales principiantes, así como para administradores experimentados, le permite tomar el control total de su red.

Escrutador Plixer

Este analizador de tráfico de red le permite recopilar y analizar exhaustivamente el tráfico de red y encontrar y corregir errores rápidamente. Con Scrutinizer, puede ordenar sus datos de diversas formas, incluso por intervalo de tiempo, host, aplicación, protocolo y más. La versión gratuita te permite controlar un número ilimitado de interfaces y almacenar datos durante 24 horas de actividad.

Wireshark

Wireshark es un potente analizador de red que puede ejecutarse en Linux, Windows, MacOS X, Solaris y otras plataformas. Wireshark le permite ver los datos capturados mediante una GUI o utilizar las utilidades TShark en modo TTY. Sus características incluyen recopilación y análisis de tráfico VoIP, visualización en tiempo real de Ethernet, IEEE 802.11, Bluetooth, USB, datos Frame Relay, XML, PostScript, salida de datos CSV, soporte de descifrado y más.

Requisitos del sistema: Windows XP y superior, cualquier procesador moderno de 64/32 bits, 400 Mb de RAM y 300 Mb de espacio libre en disco. Wireshark NetFlow Analyzer es una poderosa herramienta que puede simplificar enormemente el trabajo de cualquier administrador de red.

Paessler PRTG

Este analizador de tráfico proporciona a los usuarios muchas funciones útiles: soporte para monitorear LAN, WAN, VPN, aplicaciones, servidor virtual, QoS y entorno. También se admite el monitoreo de múltiples sitios. PRTG utiliza SNMP, WMI, NetFlow, SFlow, JFlow y análisis de paquetes, así como monitoreo de tiempo de actividad/inactividad y soporte IPv6.

La versión gratuita te permite utilizar un número ilimitado de sensores durante 30 días, después de los cuales sólo podrás utilizar hasta 100 de forma gratuita.

sonda

Es una aplicación de análisis y seguimiento de NetFlow de código abierto con todas las funciones.

nProbe admite IPv4 e IPv6, Cisco NetFlow v9/IPFIX, NetFlow-Lite, contiene funciones para análisis de tráfico VoIP, muestreo de flujo y paquetes, generación de registros, actividad MySQL/Oracle y DNS, y mucho más. La aplicación es gratuita si descarga y compila el analizador de tráfico en Linux o Windows. El ejecutable de instalación limita el tamaño de captura a 2000 paquetes. nProbe es completamente gratuito para instituciones educativas, así como para organizaciones científicas y sin fines de lucro. Esta herramienta funcionará en versiones de 64 bits de los sistemas operativos Linux y Windows.

Esta lista de 10 analizadores y recopiladores de tráfico NetFlow gratuitos lo ayudará a comenzar a monitorear y solucionar problemas en una red de oficina pequeña o en una WAN empresarial grande con múltiples sitios.

Cada aplicación presentada en este artículo permite monitorear y analizar el tráfico de la red, detectar fallas menores e identificar anomalías del ancho de banda que pueden indicar amenazas a la seguridad. Y también visualizar información sobre la red, tráfico y mucho más. Los administradores de red deben tener este tipo de herramientas en su arsenal.

Esta publicación es una traducción del artículo “ Los 10 mejores analizadores y recopiladores de Netflow gratuitos para Windows", preparado por el amigable equipo del proyecto

Bueno malo

Cualquier administrador, tarde o temprano, recibe instrucciones de la gerencia: "cuente quién se conecta y cuánto descarga". Para los proveedores, se complementa con las tareas de “dejar entrar a quien lo necesite, cobrar, limitar el acceso”. ¿Qué contar? ¿Cómo? ¿Dónde? Hay mucha información fragmentaria, no está estructurada. Ahorraremos al administrador novato de búsquedas tediosas proporcionándole conocimientos generales y enlaces útiles al hardware.
En este artículo intentaré describir los principios de organización de la recopilación, contabilidad y control del tráfico en la red. Analizaremos el problema y enumeraremos posibles formas de recuperar información de dispositivos de red.

Este es el primer artículo teórico de una serie de artículos dedicados a la recopilación, contabilidad, gestión y facturación del tráfico y los recursos TI.

estructura de acceso a internet

En general, la estructura de acceso a la red tiene este aspecto:

• Recursos externos: Internet, con todos los sitios, servidores, direcciones y otras cosas que no pertenecen a la red que usted controla.
• Dispositivo de acceso: enrutador (hardware o basado en PC), conmutador, servidor VPN o concentrador.
• Los recursos internos son un conjunto de computadoras, subredes, suscriptores cuyo funcionamiento en la red debe tenerse en cuenta o controlarse.
• Un servidor de gestión o contabilidad es un dispositivo en el que se ejecuta un software especializado. Se puede combinar funcionalmente con un enrutador de software.

En esta estructura, el tráfico de la red pasa de los recursos externos a los internos y viceversa a través del dispositivo de acceso. Transmite información de tráfico al servidor de gestión. El servidor de control procesa esta información, la almacena en la base de datos, la muestra y emite comandos de bloqueo. Sin embargo, no todas las combinaciones de dispositivos (métodos) de acceso y métodos de recolección y control son compatibles. Las diversas opciones se analizarán a continuación.

Tráfico de red

En primer lugar, es necesario definir qué se entiende por "tráfico de red" y qué información estadística útil se puede extraer del flujo de datos del usuario.
El protocolo de interconexión de redes dominante sigue siendo IP versión 4. El protocolo IP corresponde a la capa 3 del modelo OSI (L3). La información (datos) entre el remitente y el destinatario se empaqueta en paquetes, que tienen un encabezado y una "carga útil". El encabezado determina de dónde viene y hacia dónde viene el paquete (direcciones IP del remitente y del destinatario), el tamaño del paquete y el tipo de carga útil. La mayor parte del tráfico de la red consiste en paquetes con cargas útiles UDP y TCP; estos son protocolos de Capa 4 (L4). Además de las direcciones, el encabezado de estos dos protocolos contiene números de puerto, que determinan el tipo de servicio (aplicación) que transmite datos.

Para transmitir un paquete IP a través de cables (o radio), los dispositivos de red se ven obligados a "envolverlo" (encapsularlo) en un paquete de protocolo de Capa 2 (L2). El protocolo más común de este tipo es Ethernet. La transmisión real "al cable" ocurre en el primer nivel. Normalmente, el dispositivo de acceso (enrutador) no analiza los encabezados de los paquetes en niveles superiores al nivel 4 (a excepción de los firewalls inteligentes).
La información de los campos de direcciones, puertos, protocolos y contadores de longitud de los encabezados L3 y L4 de los paquetes de datos constituye la "materia prima" que se utiliza en la contabilidad y gestión del tráfico. La cantidad real de información transmitida se encuentra en el campo Longitud del encabezado IP (incluida la longitud del encabezado). Por cierto, debido a la fragmentación de paquetes debida al mecanismo MTU, el volumen total de datos transmitidos siempre es mayor que el tamaño de la carga útil.

La longitud total de los campos IP y TCP/UDP del paquete que nos interesan en este contexto es del 2...10% de la longitud total del paquete. Si procesas y almacenas toda esta información lote a lote, no habrá suficientes recursos. Afortunadamente, la gran mayoría del tráfico está estructurado para consistir en una serie de "conversaciones" entre dispositivos de red externos e internos, denominados "flujos". Por ejemplo, como parte de una operación de envío de un correo electrónico (protocolo SMTP), se abre una sesión TCP entre el cliente y el servidor. Se caracteriza por un conjunto constante de parámetros. (dirección IP de origen, puerto TCP de origen, dirección IP de destino, puerto TCP de destino). En lugar de procesar y almacenar información paquete por paquete, es mucho más conveniente almacenar parámetros de flujo (direcciones y puertos), así como información adicional: el número y la suma de las longitudes de los paquetes transmitidos en cada dirección, opcionalmente la duración de la sesión, la interfaz del enrutador. índices, valor del campo ToS, etc. Este enfoque es beneficioso para los protocolos orientados a la conexión (TCP), donde es posible interceptar explícitamente la terminación de una sesión. Sin embargo, incluso para protocolos no orientados a sesiones, es posible realizar agregación y finalización lógica de un registro de flujo basándose, por ejemplo, en un tiempo de espera. A continuación se muestra un extracto de la base de datos SQL de nuestro propio sistema de facturación, que registra información sobre los flujos de tráfico:

Es necesario tener en cuenta el caso en el que el dispositivo de acceso realiza traducción de direcciones (NAT, enmascaramiento) para organizar el acceso a Internet para computadoras de la red local utilizando una dirección IP pública externa. En este caso, un mecanismo especial reemplaza las direcciones IP y los puertos TCP/UDP de los paquetes de tráfico, reemplazando las direcciones internas (no enrutables en Internet) según su tabla de traducción dinámica. En tal configuración, es necesario recordar que para registrar correctamente los datos en los hosts de la red interna, las estadísticas deben recopilarse de una manera y en un lugar donde el resultado de la traducción aún no "anonimice" las direcciones internas.

Métodos para recopilar información sobre tráfico/estadísticas

Puede capturar y procesar información sobre el tráfico que pasa directamente en el dispositivo de acceso (enrutador de PC, servidor VPN), transfiriéndolo desde este dispositivo a un servidor separado (NetFlow, SNMP) o "desde el cable" (tap, SPAN). Veamos todas las opciones en orden.

enrutador de computadora

Consideremos el caso más simple: un dispositivo de acceso (enrutador) basado en una PC con Linux.

Cómo configurar dicho servidor, traducción y enrutamiento de direcciones, se ha escrito mucho. Nos interesa el siguiente paso lógico: información sobre cómo obtener información sobre el tráfico que pasa por dicho servidor. Hay tres métodos comunes:

• interceptar (copiar) paquetes que pasan a través de la tarjeta de red del servidor utilizando la biblioteca libpcap
• interceptar paquetes que pasan a través del firewall incorporado
• usar herramientas de terceros para convertir estadísticas paquete por paquete (obtenidas mediante uno de los dos métodos anteriores) en un flujo de información agregada de netflow

Libcap

En el primer caso, un programa cliente en el servidor escrito utilizando esta biblioteca puede solicitar una copia del paquete que pasa a través de la interfaz, después de pasar el filtro (man pcap-filter). El paquete llega con un encabezado de capa 2 (Ethernet). Es posible limitar la extensión de la información capturada (si sólo nos interesa la información de su encabezado). Ejemplos de estos programas son tcpdump y Wireshark. Existe una implementación de libpcap para Windows. Si se utiliza la traducción de direcciones en un enrutador de PC, dicha interceptación solo se puede llevar a cabo en su interfaz interna conectada a usuarios locales. En la interfaz externa, después de la traducción, los paquetes IP no contienen información sobre los hosts internos de la red. Sin embargo, con este método es imposible tener en cuenta el tráfico generado por el propio servidor en Internet (lo cual es importante si ejecuta un servicio web o de correo electrónico).

libpcap requiere soporte del sistema operativo, lo que actualmente equivale a instalar una única biblioteca. En este caso, el programa de aplicación (usuario) que recopila paquetes debe:

• abra la interfaz requerida
• especifique el filtro a través del cual pasar los paquetes recibidos, el tamaño de la parte capturada (snaplen), el tamaño del búfer,
• establezca el parámetro promisc, que pone la interfaz de red en modo de captura para todos los paquetes que pasan, y no solo aquellos dirigidos a la dirección MAC de esta interfaz
• establecer una función (devolución de llamada) que se llamará en cada paquete recibido.

Cuando un paquete se transmite a través de la interfaz seleccionada, después de pasar el filtro, esta función recibe un buffer que contiene Ethernet, (VLAN), IP, etc. encabezados, tamaño total hasta snaplen. Dado que la biblioteca libcap copia paquetes, no se puede utilizar para bloquear su paso. En este caso, el programa de recopilación y procesamiento de tráfico tendrá que utilizar métodos alternativos, como llamar a un script para colocar una dirección IP determinada en una regla de bloqueo de tráfico.

Cortafuegos

La captura de datos que pasan a través del firewall le permite tener en cuenta tanto el tráfico del servidor como el tráfico de los usuarios de la red, incluso cuando se está ejecutando la traducción de direcciones. Lo principal en este caso es formular correctamente la regla de captura y colocarla en el lugar correcto. Esta regla activa la transferencia del paquete hacia la biblioteca del sistema, desde donde la aplicación de gestión y contabilidad del tráfico puede recibirlo. Para el sistema operativo Linux, iptables se utiliza como firewall y las herramientas de interceptación son ipq, netfliter_queue o ulog. Para OC FreeBSD – ipfw con reglas como tee o desvío. En cualquier caso, el mecanismo del firewall se complementa con la posibilidad de trabajar con un programa de usuario de la siguiente manera:

• Un programa de usuario (un controlador de tráfico) se registra en el sistema mediante una llamada al sistema o una biblioteca.
• Un programa de usuario o un script externo instala una regla en el firewall, "envolviendo" el tráfico seleccionado (según la regla) dentro del controlador.
• Para cada paquete que pasa, el controlador recibe su contenido en forma de un búfer de memoria (con encabezados IP, etc. Después del procesamiento (contabilidad), el programa también debe decirle al núcleo del sistema operativo qué hacer a continuación con dicho paquete: descartarlo. o pasarlo. Alternativamente, es posible pasar el paquete modificado al kernel.

Dado que el paquete IP no se copia, sino que se envía al software para su análisis, es posible "expulsarlo" y, por lo tanto, restringir total o parcialmente el tráfico de un determinado tipo (por ejemplo, a un suscriptor de la red local seleccionado). Sin embargo, si el programa de aplicación deja de responder al núcleo sobre su decisión (se cuelga, por ejemplo), el tráfico a través del servidor simplemente se bloquea.
Cabe señalar que los mecanismos descritos, con volúmenes importantes de tráfico transmitido, crean una carga excesiva en el servidor, que está asociada con la copia constante de datos del kernel al programa de usuario. El método de recopilación de estadísticas a nivel del kernel del sistema operativo, con la salida de estadísticas agregadas al programa de aplicación a través del protocolo NetFlow, no tiene este inconveniente.

flujo de red

Este protocolo fue desarrollado por Cisco Systems para exportar información de tráfico desde enrutadores con el fin de contabilizar y analizar el tráfico. La versión 5 más popular ahora proporciona al destinatario un flujo de datos estructurados en forma de paquetes UDP que contienen información sobre el tráfico pasado en forma de los llamados registros de flujo:

La cantidad de información sobre el tráfico es varios órdenes de magnitud menor que el tráfico mismo, lo cual es especialmente importante en redes grandes y distribuidas. Por supuesto, es imposible bloquear la transferencia de información al recopilar estadísticas a través de netflow (a menos que se utilicen mecanismos adicionales).
Actualmente, se está popularizando un mayor desarrollo de este protocolo: la versión 9, basada en la estructura de registro de flujo de plantilla, implementada para dispositivos de otros fabricantes (sFlow). Recientemente, se adoptó el estándar IPFIX, que permite transmitir estadísticas a través de protocolos en niveles más profundos (por ejemplo, por tipo de aplicación).
La implementación de fuentes de netflow (agentes, sondas) está disponible para enrutadores de PC, tanto en forma de utilidades que funcionan según los mecanismos descritos anteriormente (flowprobe, softflowd) como directamente integradas en el kernel del sistema operativo (FreeBSD: ng_netgraph, Linux:) . Para los enrutadores de software, el flujo de estadísticas de flujo de red se puede recibir y procesar localmente en el enrutador o enviarse a través de la red (protocolo de transferencia, a través de UDP) al dispositivo receptor (recolector).


El programa recopilador puede recopilar información de muchas fuentes a la vez, siendo capaz de distinguir su tráfico incluso con espacios de direcciones superpuestos. Utilizando herramientas adicionales como nprobe, también es posible realizar agregación de datos adicional, bifurcación de flujo o conversión de protocolo, lo cual es importante cuando se administra una red grande y distribuida con docenas de enrutadores.

Las funciones de exportación de Netflow admiten enrutadores de Cisco Systems, Mikrotik y algunos otros. Todos los principales fabricantes de equipos de red admiten una funcionalidad similar (con otros protocolos de exportación).

Libpcap “afuera”

Compliquemos un poco la tarea. ¿Qué pasa si su dispositivo de acceso es un enrutador de hardware de otro fabricante? Por ejemplo, D-Link, ASUS, Trendnet, etc. Lo más probable es que sea imposible instalarle software adicional de adquisición de datos. Alternativamente, tienes un dispositivo de acceso inteligente, pero no es posible configurarlo (no tienes derechos o está controlado por tu proveedor). En este caso, puede recopilar información sobre el tráfico directamente en el punto donde el dispositivo de acceso se encuentra con la red interna, utilizando herramientas de copia de paquetes de "hardware". En este caso, definitivamente necesitará un servidor separado con una tarjeta de red dedicada para recibir copias de los paquetes Ethernet.
El servidor debe utilizar el mecanismo de recogida de paquetes mediante el método libpcap descrito anteriormente, y nuestra tarea es enviar un flujo de datos idéntico al procedente del servidor de acceso a la entrada de la tarjeta de red dedicada a este fin. Para esto puedes usar:

• Ethernet - hub: dispositivo que simplemente reenvía paquetes entre todos sus puertos de forma indiscriminada. En la realidad moderna, se puede encontrar en algún lugar de un almacén polvoriento, y no se recomienda utilizar este método: poco confiable, de baja velocidad (no hay concentradores con una velocidad de 1 Gbit/s)
• Ethernet: un conmutador con la capacidad de duplicar (duplicación, puertos SPAN). Los conmutadores inteligentes modernos (y costosos) le permiten copiar todo el tráfico (entrante, saliente, ambos) de otra interfaz física, VLAN, incluida la remota (RSPAN) a una determinada puerto
• Divisor de hardware, que puede requerir la instalación de dos tarjetas de red en lugar de una para ensamblar, además de la principal del sistema.

Naturalmente, puede configurar un puerto SPAN en el propio dispositivo de acceso (enrutador), si lo permite: Cisco Catalyst 6500, Cisco ASA. A continuación se muestra un ejemplo de dicha configuración para un conmutador Cisco:
monitorear sesión 1 fuente vlan 100! ¿De dónde sacamos los paquetes?
monitor sesión 1 interfaz de destino Gi6/3! ¿Dónde emitimos paquetes?

SNMP

¿Qué pasa si no tenemos un enrutador bajo nuestro control, no queremos contactar con Netflow, no estamos interesados ​​en los detalles del tráfico de nuestros usuarios? Simplemente se conectan a la red a través de un conmutador administrado y solo necesitamos estimar aproximadamente la cantidad de tráfico que llega a cada uno de sus puertos. Como usted sabe, los dispositivos de red con soporte de control remoto pueden mostrar contadores de paquetes (bytes) que pasan a través de las interfaces de red. Para sondearlos, sería correcto utilizar el protocolo estandarizado de gestión remota SNMP. Al usarlo, puede obtener fácilmente no solo los valores de los contadores especificados, sino también otros parámetros, como el nombre y la descripción de la interfaz, las direcciones MAC visibles a través de ella y otra información útil. Esto se hace mediante utilidades de línea de comandos (snmpwalk), navegadores gráficos SNMP y programas de monitoreo de red más complejos (rrdtools, cactus, zabbix, whats up gold, etc.). Sin embargo, este método tiene dos inconvenientes importantes:

• El bloqueo del tráfico sólo se puede realizar desactivando completamente la interfaz, utilizando el mismo SNMP.
• Los contadores de tráfico tomados vía SNMP se refieren a la suma de las longitudes de los paquetes Ethernet (unicast, broadcast y multicast por separado), mientras que el resto de herramientas descritas anteriormente dan valores relativos a los paquetes IP. Esto crea una discrepancia notable (especialmente en paquetes cortos) debido a la sobrecarga causada por la longitud del encabezado de Ethernet (sin embargo, esto se puede combatir aproximadamente: L3_byte = L2_byte - L2_packets * 38).

vpn

Por separado, vale la pena considerar el caso del acceso de un usuario a la red estableciendo explícitamente una conexión con el servidor de acceso. Un ejemplo clásico es el viejo acceso telefónico, cuyo análogo en el mundo moderno son los servicios de acceso remoto VPN (PPTP, PPPoE, L2TP, OpenVPN, IPSEC)


El dispositivo de acceso no sólo enruta el tráfico IP del usuario, sino que también actúa como un servidor VPN especializado y finaliza túneles lógicos (a menudo cifrados) dentro de los cuales se transmite el tráfico del usuario.
Para contabilizar dicho tráfico, puede utilizar todas las herramientas descritas anteriormente (y son muy adecuadas para un análisis profundo por puertos/protocolos), así como mecanismos adicionales que proporcionan herramientas de control de acceso a VPN. En primer lugar hablaremos del protocolo RADIUS. Su trabajo es un tema bastante complejo. Mencionaremos brevemente que el control (autorización) de acceso al servidor VPN (cliente RADIUS) está controlado por una aplicación especial (servidor RADIUS), la cual cuenta con una base de datos (archivo de texto, SQL, Active Directory) de usuarios permitidos con sus atributos. (restricciones en las velocidades de conexión, direcciones IP asignadas). Además del proceso de autorización, el cliente transmite periódicamente mensajes contables al servidor, información sobre el estado de cada sesión VPN actualmente en ejecución, incluidos contadores de bytes y paquetes transmitidos.

Conclusión

Reunamos todos los métodos para recopilar información de tráfico descritos anteriormente:

Resumamos. En la práctica, existe una gran cantidad de métodos para conectar la red que administra (con clientes o suscriptores de la oficina) a una infraestructura de red externa, utilizando una serie de herramientas de acceso: enrutadores de software y hardware, conmutadores y servidores VPN. Sin embargo, en casi cualquier caso, es posible idear un esquema en el que la información sobre el tráfico transmitido a través de la red se pueda enviar a una herramienta de software o hardware para su análisis y gestión. También es posible que esta herramienta permita retroalimentación al dispositivo de acceso, utilizando algoritmos inteligentes de restricción de acceso para clientes individuales, protocolos y otras cosas.
Aquí es donde terminaré el análisis del material. Los temas restantes sin respuesta son:

• cómo y dónde van los datos de tráfico recopilados
• software de contabilidad de tráfico
• ¿Cuál es la diferencia entre facturación y un simple “contador”?
• ¿Cómo se pueden imponer restricciones de tráfico?
• contabilidad y restricción de sitios web visitados

Etiquetas: Agregar etiquetas

Las computadoras están conectadas entre sí mediante redes externas o internas. Gracias a esto, los usuarios pueden compartir información entre sí, incluso estando en diferentes continentes.

Software de control de tráfico de oficina

Con ICS, puede controlar fácilmente la contabilidad del tráfico y su distribución entre usuarios, influir en la capacidad de conectarse a recursos de Internet a su discreción y garantizar la seguridad de su red interna.

Software de control de tráfico escolar

ICS es una puerta de enlace universal a Internet con herramientas para proteger una red educativa, contabilidad de tráfico, control de acceso e implementación de un servidor de correo, proxy y archivos.

Software de control de tráfico doméstico

ICS Lite es un portal de Internet gratuito que satisface todas sus necesidades de Internet en casa. ICS Lite es una versión con todas las funciones de Internet Control Server, que incluye una licencia para 8 usuarios.

tipos de redes

• Hogar: combine computadoras en un apartamento o casa.
• Corporativo: conecta las máquinas de trabajo de la empresa.
• Las redes locales suelen tener una infraestructura cerrada.
• Global: conecta regiones enteras y puede incluir redes locales.

Los beneficios de dicha comunicación son enormes: se ahorra tiempo a los especialistas y se reducen las facturas telefónicas. Y todos estos beneficios pueden reducirse a cero si no se cuida la seguridad a tiempo.

Las empresas que no están familiarizadas con el concepto de “control de tráfico” sufren enormes pérdidas o limitan por completo el acceso a la información. Existe una forma más sencilla de ahorrar dinero de forma segura: un programa para monitorear el tráfico en la red local.

Seguimiento del tráfico

Es importante que un gerente sepa cómo se gastan los fondos de la empresa. Por tanto, el administrador del sistema es responsable, entre otras cosas, de supervisar el tráfico de la red en la oficina. Se recopilan estadísticas no sólo sobre el volumen, sino también sobre el contenido de la información transmitida.

¿Por qué necesita control de red local? Aunque la respuesta a esta pregunta es obvia, muchos administradores de sistemas no pueden fundamentar la necesidad de controlar el consumo de tráfico de Internet.

Beneficios para el gerente

Programa de control de tráfico:

• optimiza el funcionamiento de la red: al ahorrar tiempo de trabajo de los especialistas, aumenta la productividad laboral;
• muestra la distribución del tráfico por usuarios: permite saber quién necesita recursos de Internet;
• muestra con qué fines se gastó el tráfico; elimina el acceso inapropiado.

Beneficios para el administrador del sistema

Monitorear el tráfico en una red local le permite:

• limitar el acceso de los usuarios a información no deseada;
• recibir rápidamente datos sobre el volumen de tráfico, evitando la congestión de la red;
• evitar que los virus entren en la red e identificar a los infractores de seguridad.

Opciones de implementación de controles

El seguimiento del tráfico de Internet en una red corporativa se puede organizar de varias formas:

1. Compre un firewall con capacidad de diferenciar el tráfico.
2. Configure servidores proxy con controladores NAT con funciones de contabilidad de tráfico.
3. Utilice diferentes tipos de complementos.

Sólo una solución integral puede proporcionar la máxima protección. Internet Control Server proporciona un control total del tráfico y ofrece toda la funcionalidad necesaria. ICS es un enrutador con un servidor proxy incorporado que se ejecuta en FreeBSD.

Ventajas del ICS

1. Los estudios estadísticos han revelado que los empleados dedican 1/3 de su tiempo de trabajo a acceder a Internet para fines personales. Una puerta de enlace de Internet ICS especial ayudará a evitar el acceso no autorizado.
2. El sistema de monitoreo del consumo de tráfico mantiene registros en los sistemas operativos de cualquier usuario.
3. ICS ofrece configuraciones flexibles.
4. Prepara informes detallados en una forma conveniente.

¡Descárgalo gratis!

Comience ahora mismo: descargue la versión de demostración del programa para monitorear el tráfico de Internet desde nuestro sitio web. ¡Podrás utilizar todas las funciones de nuestra solución sin restricciones durante 35 días! Una vez finalizado el período de prueba, solo necesita comprar la versión completa realizando un pedido o comunicándose con nuestros gerentes.

Tipo de organización

Seleccione el tipo de organización Institución educativa Institución presupuestaria Organización comercial

Precios NO APLICAN para instituciones privadas no estatales e instituciones de educación profesional de posgrado

Ediciones ICS

No se requiere ICS ICS estándar FSTEC

Para calcular el costo de FSTEC, comuníquese con el departamento de ventas.

Tipo de entrega

ICS ICS + SkyDNS ICS + Filtrado web Kaspersky

Tipo de licencia

Nueva licencia Actualizar licencia

Extensión de licencia de licencia de actualización premium

Número de usuarios

Extensión de licencia

C antes usuarios

Cualquier administrador, tarde o temprano, recibe instrucciones de la gerencia: "cuente quién se conecta y cuánto descarga". Para los proveedores, se complementa con las tareas de “dejar entrar a quien lo necesite, cobrar, limitar el acceso”. ¿Qué contar? ¿Cómo? ¿Dónde? Hay mucha información fragmentaria, no está estructurada. Ahorraremos al administrador novato de búsquedas tediosas proporcionándole conocimientos generales y enlaces útiles al hardware.
En este artículo intentaré describir los principios de organización de la recopilación, contabilidad y control del tráfico en la red. Analizaremos el problema y enumeraremos posibles formas de recuperar información de dispositivos de red.

Este es el primer artículo teórico de una serie de artículos dedicados a la recopilación, contabilidad, gestión y facturación del tráfico y los recursos TI.

estructura de acceso a internet

En general, la estructura de acceso a la red tiene este aspecto:

• Recursos externos: Internet, con todos los sitios, servidores, direcciones y otras cosas que no pertenecen a la red que usted controla.
• Dispositivo de acceso: enrutador (hardware o basado en PC), conmutador, servidor VPN o concentrador.
• Los recursos internos son un conjunto de computadoras, subredes, suscriptores cuyo funcionamiento en la red debe tenerse en cuenta o controlarse.
• Un servidor de gestión o contabilidad es un dispositivo en el que se ejecuta un software especializado. Se puede combinar funcionalmente con un enrutador de software.

En esta estructura, el tráfico de la red pasa de los recursos externos a los internos y viceversa a través del dispositivo de acceso. Transmite información de tráfico al servidor de gestión. El servidor de control procesa esta información, la almacena en la base de datos, la muestra y emite comandos de bloqueo. Sin embargo, no todas las combinaciones de dispositivos (métodos) de acceso y métodos de recolección y control son compatibles. Las diversas opciones se analizarán a continuación.

Tráfico de red

En primer lugar, es necesario definir qué se entiende por "tráfico de red" y qué información estadística útil se puede extraer del flujo de datos del usuario.
El protocolo de interconexión de redes dominante sigue siendo IP versión 4. El protocolo IP corresponde a la capa 3 del modelo OSI (L3). La información (datos) entre el remitente y el destinatario se empaqueta en paquetes, que tienen un encabezado y una "carga útil". El encabezado determina de dónde viene y hacia dónde viene el paquete (direcciones IP del remitente y del destinatario), el tamaño del paquete y el tipo de carga útil. La mayor parte del tráfico de la red consiste en paquetes con cargas útiles UDP y TCP; estos son protocolos de Capa 4 (L4). Además de las direcciones, el encabezado de estos dos protocolos contiene números de puerto, que determinan el tipo de servicio (aplicación) que transmite datos.

Para transmitir un paquete IP a través de cables (o radio), los dispositivos de red se ven obligados a "envolverlo" (encapsularlo) en un paquete de protocolo de Capa 2 (L2). El protocolo más común de este tipo es Ethernet. La transmisión real "al cable" ocurre en el primer nivel. Normalmente, el dispositivo de acceso (enrutador) no analiza los encabezados de los paquetes en niveles superiores al nivel 4 (a excepción de los firewalls inteligentes).
La información de los campos de direcciones, puertos, protocolos y contadores de longitud de los encabezados L3 y L4 de los paquetes de datos constituye la "materia prima" que se utiliza en la contabilidad y gestión del tráfico. La cantidad real de información transmitida se encuentra en el campo Longitud del encabezado IP (incluida la longitud del encabezado). Por cierto, debido a la fragmentación de paquetes debida al mecanismo MTU, el volumen total de datos transmitidos siempre es mayor que el tamaño de la carga útil.

La longitud total de los campos IP y TCP/UDP del paquete que nos interesan en este contexto es del 2...10% de la longitud total del paquete. Si procesas y almacenas toda esta información lote a lote, no habrá suficientes recursos. Afortunadamente, la gran mayoría del tráfico está estructurado para consistir en una serie de "conversaciones" entre dispositivos de red externos e internos, denominados "flujos". Por ejemplo, como parte de una operación de envío de un correo electrónico (protocolo SMTP), se abre una sesión TCP entre el cliente y el servidor. Se caracteriza por un conjunto constante de parámetros. (dirección IP de origen, puerto TCP de origen, dirección IP de destino, puerto TCP de destino). En lugar de procesar y almacenar información paquete por paquete, es mucho más conveniente almacenar parámetros de flujo (direcciones y puertos), así como información adicional: el número y la suma de las longitudes de los paquetes transmitidos en cada dirección, opcionalmente la duración de la sesión, la interfaz del enrutador. índices, valor del campo ToS, etc. Este enfoque es beneficioso para los protocolos orientados a la conexión (TCP), donde es posible interceptar explícitamente la terminación de una sesión. Sin embargo, incluso para protocolos no orientados a sesiones, es posible realizar agregación y finalización lógica de un registro de flujo basándose, por ejemplo, en un tiempo de espera. A continuación se muestra un extracto de la base de datos SQL de nuestro propio sistema de facturación, que registra información sobre los flujos de tráfico:

Es necesario tener en cuenta el caso en el que el dispositivo de acceso realiza traducción de direcciones (NAT, enmascaramiento) para organizar el acceso a Internet para computadoras de la red local utilizando una dirección IP pública externa. En este caso, un mecanismo especial reemplaza las direcciones IP y los puertos TCP/UDP de los paquetes de tráfico, reemplazando las direcciones internas (no enrutables en Internet) según su tabla de traducción dinámica. En tal configuración, es necesario recordar que para registrar correctamente los datos en los hosts de la red interna, las estadísticas deben recopilarse de una manera y en un lugar donde el resultado de la traducción aún no "anonimice" las direcciones internas.

Métodos para recopilar información sobre tráfico/estadísticas

Puede capturar y procesar información sobre el tráfico que pasa directamente en el dispositivo de acceso (enrutador de PC, servidor VPN), transfiriéndolo desde este dispositivo a un servidor separado (NetFlow, SNMP) o "desde el cable" (tap, SPAN). Veamos todas las opciones en orden.

enrutador de computadora

Consideremos el caso más simple: un dispositivo de acceso (enrutador) basado en una PC con Linux.

Cómo configurar dicho servidor, traducción y enrutamiento de direcciones, se ha escrito mucho. Nos interesa el siguiente paso lógico: información sobre cómo obtener información sobre el tráfico que pasa por dicho servidor. Hay tres métodos comunes:

• interceptar (copiar) paquetes que pasan a través de la tarjeta de red del servidor utilizando la biblioteca libpcap
• interceptar paquetes que pasan a través del firewall incorporado
• usar herramientas de terceros para convertir estadísticas paquete por paquete (obtenidas mediante uno de los dos métodos anteriores) en un flujo de información agregada de netflow

Libcap

En el primer caso, un programa cliente en el servidor escrito utilizando esta biblioteca puede solicitar una copia del paquete que pasa a través de la interfaz, después de pasar el filtro (man pcap-filter). El paquete llega con un encabezado de capa 2 (Ethernet). Es posible limitar la extensión de la información capturada (si sólo nos interesa la información de su encabezado). Ejemplos de estos programas son tcpdump y Wireshark. Existe una implementación de libpcap para Windows. Si se utiliza la traducción de direcciones en un enrutador de PC, dicha interceptación solo se puede llevar a cabo en su interfaz interna conectada a usuarios locales. En la interfaz externa, después de la traducción, los paquetes IP no contienen información sobre los hosts internos de la red. Sin embargo, con este método es imposible tener en cuenta el tráfico generado por el propio servidor en Internet (lo cual es importante si ejecuta un servicio web o de correo electrónico).

libpcap requiere soporte del sistema operativo, lo que actualmente equivale a instalar una única biblioteca. En este caso, el programa de aplicación (usuario) que recopila paquetes debe:

• abra la interfaz requerida
• especifique el filtro a través del cual pasar los paquetes recibidos, el tamaño de la parte capturada (snaplen), el tamaño del búfer,
• establezca el parámetro promisc, que pone la interfaz de red en modo de captura para todos los paquetes que pasan, y no solo aquellos dirigidos a la dirección MAC de esta interfaz
• establecer una función (devolución de llamada) que se llamará en cada paquete recibido.

Cuando un paquete se transmite a través de la interfaz seleccionada, después de pasar el filtro, esta función recibe un buffer que contiene Ethernet, (VLAN), IP, etc. encabezados, tamaño total hasta snaplen. Dado que la biblioteca libcap copia paquetes, no se puede utilizar para bloquear su paso. En este caso, el programa de recopilación y procesamiento de tráfico tendrá que utilizar métodos alternativos, como llamar a un script para colocar una dirección IP determinada en una regla de bloqueo de tráfico.

Cortafuegos

La captura de datos que pasan a través del firewall le permite tener en cuenta tanto el tráfico del servidor como el tráfico de los usuarios de la red, incluso cuando se está ejecutando la traducción de direcciones. Lo principal en este caso es formular correctamente la regla de captura y colocarla en el lugar correcto. Esta regla activa la transferencia del paquete hacia la biblioteca del sistema, desde donde la aplicación de gestión y contabilidad del tráfico puede recibirlo. Para el sistema operativo Linux, iptables se utiliza como firewall y las herramientas de interceptación son ipq, netfliter_queue o ulog. Para OC FreeBSD – ipfw con reglas como tee o desvío. En cualquier caso, el mecanismo del firewall se complementa con la posibilidad de trabajar con un programa de usuario de la siguiente manera:

• Un programa de usuario (un controlador de tráfico) se registra en el sistema mediante una llamada al sistema o una biblioteca.
• Un programa de usuario o un script externo instala una regla en el firewall, "envolviendo" el tráfico seleccionado (según la regla) dentro del controlador.
• Para cada paquete que pasa, el controlador recibe su contenido en forma de un búfer de memoria (con encabezados IP, etc. Después del procesamiento (contabilidad), el programa también debe decirle al núcleo del sistema operativo qué hacer a continuación con dicho paquete: descartarlo. o pasarlo. Alternativamente, es posible pasar el paquete modificado al kernel.

Dado que el paquete IP no se copia, sino que se envía al software para su análisis, es posible "expulsarlo" y, por lo tanto, restringir total o parcialmente el tráfico de un determinado tipo (por ejemplo, a un suscriptor de la red local seleccionado). Sin embargo, si el programa de aplicación deja de responder al núcleo sobre su decisión (se cuelga, por ejemplo), el tráfico a través del servidor simplemente se bloquea.
Cabe señalar que los mecanismos descritos, con volúmenes importantes de tráfico transmitido, crean una carga excesiva en el servidor, que está asociada con la copia constante de datos del kernel al programa de usuario. El método de recopilación de estadísticas a nivel del kernel del sistema operativo, con la salida de estadísticas agregadas al programa de aplicación a través del protocolo NetFlow, no tiene este inconveniente.

flujo de red

Este protocolo fue desarrollado por Cisco Systems para exportar información de tráfico desde enrutadores con el fin de contabilizar y analizar el tráfico. La versión 5 más popular ahora proporciona al destinatario un flujo de datos estructurados en forma de paquetes UDP que contienen información sobre el tráfico pasado en forma de los llamados registros de flujo:

La cantidad de información sobre el tráfico es varios órdenes de magnitud menor que el tráfico mismo, lo cual es especialmente importante en redes grandes y distribuidas. Por supuesto, es imposible bloquear la transferencia de información al recopilar estadísticas a través de netflow (a menos que se utilicen mecanismos adicionales).
Actualmente, se está popularizando un mayor desarrollo de este protocolo: la versión 9, basada en la estructura de registro de flujo de plantilla, implementada para dispositivos de otros fabricantes (sFlow). Recientemente, se adoptó el estándar IPFIX, que permite transmitir estadísticas a través de protocolos en niveles más profundos (por ejemplo, por tipo de aplicación).
La implementación de fuentes de netflow (agentes, sondas) está disponible para enrutadores de PC, tanto en forma de utilidades que funcionan según los mecanismos descritos anteriormente (flowprobe, softflowd) como directamente integradas en el kernel del sistema operativo (FreeBSD:, Linux:). Para los enrutadores de software, el flujo de estadísticas de flujo de red se puede recibir y procesar localmente en el enrutador o enviarse a través de la red (protocolo de transferencia, a través de UDP) al dispositivo receptor (recolector).


El programa recopilador puede recopilar información de muchas fuentes a la vez, siendo capaz de distinguir su tráfico incluso con espacios de direcciones superpuestos. Utilizando herramientas adicionales como nprobe, también es posible realizar agregación de datos adicional, bifurcación de flujo o conversión de protocolo, lo cual es importante cuando se administra una red grande y distribuida con docenas de enrutadores.

Las funciones de exportación de Netflow admiten enrutadores de Cisco Systems, Mikrotik y algunos otros. Todos los principales fabricantes de equipos de red admiten una funcionalidad similar (con otros protocolos de exportación).

Libpcap “afuera”

Compliquemos un poco la tarea. ¿Qué pasa si su dispositivo de acceso es un enrutador de hardware de otro fabricante? Por ejemplo, D-Link, ASUS, Trendnet, etc. Lo más probable es que sea imposible instalarle software adicional de adquisición de datos. Alternativamente, tienes un dispositivo de acceso inteligente, pero no es posible configurarlo (no tienes derechos o está controlado por tu proveedor). En este caso, puede recopilar información sobre el tráfico directamente en el punto donde el dispositivo de acceso se encuentra con la red interna, utilizando herramientas de copia de paquetes de "hardware". En este caso, definitivamente necesitará un servidor separado con una tarjeta de red dedicada para recibir copias de los paquetes Ethernet.
El servidor debe utilizar el mecanismo de recogida de paquetes mediante el método libpcap descrito anteriormente, y nuestra tarea es enviar un flujo de datos idéntico al procedente del servidor de acceso a la entrada de la tarjeta de red dedicada a este fin. Para esto puedes usar:

• Ethernet - hub: dispositivo que simplemente reenvía paquetes entre todos sus puertos de forma indiscriminada. En la realidad moderna, se puede encontrar en algún lugar de un almacén polvoriento, y no se recomienda utilizar este método: poco confiable, de baja velocidad (no hay concentradores con una velocidad de 1 Gbit/s)
• Ethernet: un conmutador con la capacidad de duplicar (duplicación, puertos SPAN). Los conmutadores inteligentes modernos (y costosos) le permiten copiar todo el tráfico (entrante, saliente, ambos) de otra interfaz física, VLAN, incluida la remota (RSPAN) a una determinada puerto
• Divisor de hardware, que puede requerir la instalación de dos tarjetas de red en lugar de una para ensamblar, además de la principal del sistema.

Naturalmente, puede configurar un puerto SPAN en el propio dispositivo de acceso (enrutador), si lo permite: Cisco Catalyst 6500, Cisco ASA. A continuación se muestra un ejemplo de dicha configuración para un conmutador Cisco:
monitorear sesión 1 fuente vlan 100! ¿De dónde sacamos los paquetes?
monitor sesión 1 interfaz de destino Gi6/3! ¿Dónde emitimos paquetes?

SNMP

¿Qué pasa si no tenemos un enrutador bajo nuestro control, no queremos contactar con Netflow, no estamos interesados ​​en los detalles del tráfico de nuestros usuarios? Simplemente se conectan a la red a través de un conmutador administrado y solo necesitamos estimar aproximadamente la cantidad de tráfico que llega a cada uno de sus puertos. Como usted sabe, los dispositivos de red con soporte de control remoto pueden mostrar contadores de paquetes (bytes) que pasan a través de las interfaces de red. Para sondearlos, sería correcto utilizar el protocolo estandarizado de gestión remota SNMP. Al usarlo, puede obtener fácilmente no solo los valores de los contadores especificados, sino también otros parámetros, como el nombre y la descripción de la interfaz, las direcciones MAC visibles a través de ella y otra información útil. Esto se hace mediante utilidades de línea de comandos (snmpwalk), navegadores gráficos SNMP y programas de monitoreo de red más complejos (rrdtools, cactus, zabbix, whats up gold, etc.). Sin embargo, este método tiene dos inconvenientes importantes:

• El bloqueo del tráfico sólo se puede realizar desactivando completamente la interfaz, utilizando el mismo SNMP.
• Los contadores de tráfico tomados vía SNMP se refieren a la suma de las longitudes de los paquetes Ethernet (unicast, broadcast y multicast por separado), mientras que el resto de herramientas descritas anteriormente dan valores relativos a los paquetes IP. Esto crea una discrepancia notable (especialmente en paquetes cortos) debido a la sobrecarga causada por la longitud del encabezado de Ethernet (sin embargo, esto se puede combatir aproximadamente: L3_byte = L2_byte - L2_packets * 38).

vpn

Por separado, vale la pena considerar el caso del acceso de un usuario a la red estableciendo explícitamente una conexión con el servidor de acceso. Un ejemplo clásico es el viejo acceso telefónico, cuyo análogo en el mundo moderno son los servicios de acceso remoto VPN (PPTP, PPPoE, L2TP, OpenVPN, IPSEC)


El dispositivo de acceso no sólo enruta el tráfico IP del usuario, sino que también actúa como un servidor VPN especializado y finaliza túneles lógicos (a menudo cifrados) dentro de los cuales se transmite el tráfico del usuario.
Para contabilizar dicho tráfico, puede utilizar todas las herramientas descritas anteriormente (y son muy adecuadas para un análisis profundo por puertos/protocolos), así como mecanismos adicionales que proporcionan herramientas de control de acceso a VPN. En primer lugar hablaremos del protocolo RADIUS. Su trabajo es un tema bastante complejo. Mencionaremos brevemente que el control (autorización) de acceso al servidor VPN (cliente RADIUS) está controlado por una aplicación especial (servidor RADIUS), la cual cuenta con una base de datos (archivo de texto, SQL, Active Directory) de usuarios permitidos con sus atributos. (restricciones en las velocidades de conexión, direcciones IP asignadas). Además del proceso de autorización, el cliente transmite periódicamente mensajes contables al servidor, información sobre el estado de cada sesión VPN actualmente en ejecución, incluidos contadores de bytes y paquetes transmitidos.

Conclusión

Reunamos todos los métodos para recopilar información de tráfico descritos anteriormente:

Resumamos. En la práctica, existe una gran cantidad de métodos para conectar la red que administra (con clientes o suscriptores de la oficina) a una infraestructura de red externa, utilizando una serie de herramientas de acceso: enrutadores de software y hardware, conmutadores y servidores VPN. Sin embargo, en casi cualquier caso, es posible idear un esquema en el que la información sobre el tráfico transmitido a través de la red se pueda enviar a una herramienta de software o hardware para su análisis y gestión. También es posible que esta herramienta permita retroalimentación al dispositivo de acceso, utilizando algoritmos inteligentes de restricción de acceso para clientes individuales, protocolos y otras cosas.
Aquí es donde terminaré el análisis del material. Los temas restantes sin respuesta son:

• cómo y dónde van los datos de tráfico recopilados
• software de contabilidad de tráfico
• ¿Cuál es la diferencia entre facturación y un simple “contador”?
• ¿Cómo se pueden imponer restricciones de tráfico?
• contabilidad y restricción de sitios web visitados

Los usuarios que no pueden conectarse a Internet ilimitado están interesados ​​principalmente en el consumo de tráfico. El tráfico se controla mediante programas especiales o mediante capacidades de Windows.

Windows 8 le permite controlar el tráfico sin utilizar programas adicionales. Para activar el contador de tráfico, busque el icono de conexión de red en la barra de tareas. Después de hacer clic en el icono, se abrirá la ventana "Redes". Seleccione la conexión activa y haga clic derecho. En la ventana que aparece, en la primera línea verá "Mostrar información sobre el uso previsto". Active este elemento y en el futuro, cuando abra la ventana "Redes", verá estadísticas sobre los volúmenes utilizados. En productos anteriores de Windows, 7 o XP, el proceso de verificación del tráfico se realiza de manera un poco diferente. Después de conectarse a Internet, también haga clic izquierdo en el icono de conexión y seleccione la red activa. Utilice el botón derecho para ir a "Estado". Aquí verá el volumen de tráfico entrante y saliente, que se muestra en bytes.

Puede controlar el tráfico utilizando el programa gratuito Networx 5.3.2. El programa admite cualquier tipo de conexión: Internet móvil, por cable o por cable. Networx muestra el tráfico entrante y saliente. Puede ver estadísticas del período que le interesa y también controlar la velocidad de su conexión a Internet. El programa te permite comprobar cuánto tráfico consume cada aplicación.

El programa Networx comienza a contar su tráfico de Internet desde el momento de la instalación. Puede configurar el programa para que la actividad del tráfico sea visible en el icono de la bandeja. A través de la configuración, abra la pestaña "Tráfico", luego marque las opciones necesarias, como se muestra en la foto, y guarde las acciones completadas.

También puedes establecer una cuota. Para ello seleccione el tipo de cuota, tráfico, horas y unidades de medida. Después de configurar el tamaño de la cuota, haga clic en "Aceptar". Cuando el consumo de tráfico se acerque al umbral límite, el programa le advertirá al respecto. Esto evitará excesos de tráfico.

El control del tráfico en dispositivos móviles depende del sistema del dispositivo. Por ejemplo, el sistema Android es capaz de contar el tráfico entrante y saliente. Para hacer esto, debe seleccionar "Transferencia de datos" en la configuración y seleccionar un operador de telecomunicaciones. Se abrirá una ventana donde se mostrarán los datos sobre el tráfico entrante y saliente. Además de comprobar el volumen, puedes establecer un límite de uso del tráfico.

Controlar el consumo de tráfico te ayudará a evitar gastos innecesarios. Incluso si utiliza Internet ilimitado, verifique periódicamente la actividad de su red. Un consumo de tráfico claramente aumentado indica que un virus o un troyano se ha instalado en el sistema.