Vítejte na serveru Sítě, viry, Windows a další...

 
  Přihlásit/Vytvořit účet    

Vyberte si
· Domů
· Archív článků
· Často kladené dotazy
· Odkazy
· Programy ke stažení
· Slovníček pojmů
· Témata článků
· Vyhledávání

Vyhledávání


Pokročilé vyhledávání

Aktuální hoaxy
·
·Spotify - Your Subscription has been suspended (20181011)
·
·Aktualizace online (20181004)
·
·
·
·
·
·Dhl Package (20180905)

více...

Firemní síť a neobvykle velký objem přenesených dat
Publikováno: Neděle, 16.01. 2005 @ 06:25:04 CET Od: Schuster

Bezpečnost Pokud se ve firemní síti objeví počítač, který díky použití P2P sítě, vnitřního SMTP serveru k rozesílání spamu apod. zvyšuje objem přenesených dat do Internetu nebo z Internetu, tak to může přinést nepříjemnosti. Jak takový počítač najít?

A PROČ HO VLASTNĚ HLEDAT?

Důvodů může být několik:
  1. Vysoký objem dat přenesených přes poskytovatele připojení k Internetu stojí peníze
  2. Zatěžuje se firemní infrastruktura sítě
  3. Korektně přenášená data se musí dělit o konektivitu s daty přenášenými v P2P síti a tím může být jejich přenos zpomalován
  4. P2P klient není ověřen a může trpět chybou, prostřednictvím které může získat útočník přístup na inkriminovaný počítač nebo do firemní sítě
  5. P2P sítě jsou velmi často zneužívány k šíření virů a může dojít k infiltraci
  6. Možné problémy se státními orgány díky poskytování nepovoleného obsahu
  7. Pokud je v síti vnitřní SMTP server, který se zneužívá k rozesílání spamu, tak se může dostat IP adresa firemní brány do Internetu nebo celý rozsah používaných IP adres na blacklisty a tím vzniknou problémy s doručováním pošty atd..
Řešením může být použití nástroje z dílny Open Source komunity, kterým je program NTop-XTRA.

Tento program je ve své podstatě vyspělý sniffer, který dokáže získaná data analyzovat a vytvářet podrobné statistiky. Kdykoliv je k dispozici tabulka, ve které jsou zobrazeny informace o jednotlivých počítačích v síti a jimi přenesených datech do Internetu a z Internetu. Tyto informace jsou uvedeny buď jako celkový přehled, nebo podle jednotlivých použitých protokolů. Poznámka: všechny náhledy zobrazují jenom z části všechny schopnosti programu.


Pokud by měl některý z počítačů vyšší objem přenesených dat, tak je možné zobrazení podrobných informací o těchto datech buď obecně, nebo v podobě TCP Dumpu. Je maličkostí zjistit, co bylo prostřednictvím P2P sítě stahováno a jaký nick byl používán, na jaké e-mailové adresy je rozesílán spam, kam se připojují uživatelé protokoly FTP, HTTP a jaká data jsou přenášena atd.. Rovněž je možné pohotově sledovat graf, který charakterizuje využití šířky pásma připojení do Internetu (data v grafu jsou aktalizována v periodě dvou minut).


Při vzniku podezření, že se některý z počítačů (uživatelů) nechová při aktivním připojení k Internetu korektně, je možná jeho kontrola přímo v reálném čase. NTop-XTRA je schopen sledovat aktivní připojení a poskytovat detailní informace.



Program potřebuje k práci výše uvedeným způsobem určité podmínky. Především je nutno vytvořit monitorovací počítač, na kterém NTop-XTRA poběží. Vyzkoušená konfigurace je Pentium 2 400 MHz, RAM 256 MB a volné místo na disku 8 MB. Dále je potřeba zajistit, aby byla všechna data, která odcházejí ze sítě do Internetu nebo přicházejí z Internetu kopírována na síťové rozhraní monitorovacího počítače. Toho se dosáhne tím, že se mezi bránu do Internetu a vnitřní síť vloží HUB. Využívá se ta jeho vlastnost, že kopíruje data na všechny porty - k prvnímu portu se přivede kabel od zařízení zprostředkující připojení do Internetu (např. xDSL modem), k druhému portu se připojí zařízení, které je ve směru do vnitřní sítě (např. switch, router atd.) a k třetímu portu se připojí monitorovací počítač - možných konfigurací je velké množství. Při instalaci programu NTop-XTRA se instaluje rovněž WinPcap (Free Packet Capture Library for Windows), který technicky umožňuje vytvářet podrobné statistiky a TCP Dump.

Pokud by byla velikost objemu přenášených dat (trafik) tak vysoký, že by bylo urgentní tento objem co nejrychleji snížit, tak je potřeba na firewallu, který je nainstalován na bráně do Internetu, zablokovat připojení ze vzdálených TCP portů 411-413, 1214, 3531, 4661-4669, 6345-6349 a 6881-6889. O P2P klientech je totiž známo, že téměř výhradě používají právě tyto porty. Přímo ideální by byla schopnost firewallu uvedené porty filtrovat teprve v okamžiku, kdy by došlo k otevření dvou a více slotů.

Po konfiguraci zařízení a spuštění programu NTop-XTRA je možné přistupovat k datům přes webové rozhraní na portu 3000 (např. http://192.168.1.1:3000).
Domovská stránka: openxtra.co.uk
Download: installer, source code
Operační systém: Windows NT4 SP6a, 2000, nebo XP
Klient: Internet Explorer 5.5 nebo vyšší

 
Související odkazy
· Více o tématu Bezpečnost
· Další články od autora Schuster


Nejčtenější článek na téma Bezpečnost:
Změna MAC adresy síťové karty v systému Windows


Hodnocení článku
Průměrné hodnocení: 4.75
Hlasů: 4


Hlasujte pro tento článek:

Výborný
Velmi dobré
Dobré
Povedený
Špatné



Možnosti

 Vytisknout článek  Vytisknout článek

 Poslat článek  Poslat článek


Související témata

BezpečnostPočítačové sítě

"Firemní síť a neobvykle velký objem přenesených dat" | Přihlásit/Vytvořit účet | 2 komentářů | Vyhledávání v diskusích
Limit
Komentáře vlastní jejich autoři. Neodpovídáme za jejich obsah.

Není povoleno posílat komentáře anonymně, prosím zaregistrujte se.

Re: Firemní síť a neobvykle velký objem přenesených dat (Hodnocení: 1)
Od: Galvan - Úterý, 25.01. 2005 @ 11:45:49 CET
(O uživateli | Poslat soukromou zprávu)
Existuje http tunelovani takze stejne by neslo zjistit ze pouzivam treba Kazaa.




Webmaster: Jiří Schuster


Čas potřebný ke zpracování stránky: 0.146 sekund