23 октября, вторник 03:32
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Учет интернет трафика

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Учет интернет трафика

    На предприятии ведется учет интернет трафика:
    -сколько скачал сотрудник
    - где лазил
    - во сколько и когда
    -и тд

    И теперь возник вопрос ето какнить задокументировать(((
    Ни у кого нет ничего на такую тему ??
    Помогите чем могите)

  • #2
    Fox1k На предприятии ведется учет интернет трафика

    Этим занимается безопасность?

    Комментарий


    • #3
      ну у нас да))
      мы в курсе того, как тратит пользователь Интернет трафик.

      Комментарий


      • #4
        С человеком, видевшим логи прокси-сервера, сложно говорить о морали ;-)

        Вообще это не задача ИБ, но раз такая задача стоит, то я не вижу проблемы. Любая нормальная системы URL Filtering имеет ситсему репортинга. Чем она не устраивает? Или задача иная стоит?

        Комментарий


        • #5
          Foxlk, я поставлю вопрос по другому: а о какой документации идет речь?
          что значит задокументировать?
          Да пребудет с тобой Сила!

          Комментарий


          • #6
            В свое время для запрета посещать разные порнушные сайты (не из соображений безопасности, а просто так начальство велело) я использовал программу SurfControl. Кроме запрета она позволяет сптроить очень красивые графики посещения пользователями разных ресурвов - по категориям, времани, объему, протоколам и т.п.

            Начальство, глядя на эти диаграммы, которые я регулярно ему докладывал, просто рыдало от радости. Ну и клизма на столе не залеживалась - регулярно было кому ее вставить.

            Но в принципе, если вы используете, к примеру, ISA server, который пишет свои логи в базу SQL сервера, то несложно написать программульку, которая будет анализировать эти логи и строить всякие графики - кто, куда, зачем.

            Комментарий


            • #7
              В частности для squid (и приводимых к его формату) журналов рекомендую lightsquid. Быстрый и безглючный, в отличие от sarg.

              Хотя, как неоднократно отмечалось, "каждый сисадмин обязан написать свой собственный анализатор логов прокси"...
              /kiv

              Комментарий


              • #8
                Контроль с программной и аппаратной точки зрения осуществляется нормально!
                Вопрос в другом, какой нить документ: как должен осуществляется контроль, на кем, какими инструкциями руководствоваться, кто отвечает за трафик, кто делает отчеты, кто имеет право просматривать отчетность и тд. в се в таком духе )
                как я понимаю чтото типа : регламента учета интернет ресурсов !

                Комментарий


                • #9
                  Вопрос в другом, какой нить документ: как должен осуществляется контроль, на кем, какими инструкциями руководствоваться, кто отвечает за трафик, кто делает отчеты, кто имеет право просматривать отчетность и тд. в се в таком духе )

                  Самый правильный способ -- задокументировать имеющийся учёт. Максимально честно.

                  Просто из попыток законотворчества (tm) обычно ничего полезного или хотя бы применимого на практике не получается.
                  /kiv

                  Комментарий


                  • #10
                    я почему то и думал, что речь идет не том, как и чем делать логи и выборку потом по ним, а о организации процесса как такового...

                    Вообще конечно, соглашусь с Илюхой, начать лучше всего с того, что попытаться описать ту схему, которая есть на самом деле. Только первым делом определить, что понимается под интернет-трафиком, в соответствии с чем есть потребность в его ограничении и потом уже по порядку:
                    1. смотрим за всеми или нет.
                    2. в каком виде смотрим (технические средства и выходная фарма документа)
                    3. кто (подразделение) выполняет сам учет
                    4. как часто идет анализ логов
                    5. куда идут результаты логов
                    6. какие принимаются решения.

                    Таким будет сам регламент. Положение раскрывает чуть меньше вопросов
                    Да пребудет с тобой Сила!

                    Комментарий


                    • #11
                      Fox1k регламента учета интернет ресурсов

                      Отдай все в ИТ и не мучайся. К ИБ это отношения все равно не имеет ;-)

                      Комментарий


                      • #12
                        Как-то директор одной организации обратился с просьбой организовать контроль расхода трафика интернет. И после очень долгих обсуждений пришли к IDECO, которая имеет сертификат связистов, как биллинговая система,т.к. вроде как все законно, красиво и тд и тп.
                        Ежели организация небольшая, то ИБ и ИТ - одно лицо (((

                        Комментарий


                        • #13
                          Сообщение от Алексей Лукацкий Посмотреть сообщение
                          Fox1k регламента учета интернет ресурсов

                          Отдай все в ИТ и не мучайся. К ИБ это отношения все равно не имеет ;-)
                          ИБ в анализе трафика может быть интересно когда у пользователя большой исходящий трафик, т.е. появляется мысль, а что он в сеть так много закачал.

                          Комментарий


                          • #14
                            Сообщение от Stnslav Посмотреть сообщение
                            ИБ в анализе трафика может быть интересно когда у пользователя большой исходящий трафик, т.е. появляется мысль, а что он в сеть так много закачал.
                            Обалдеть!!!
                            То есть ценность украденного обределяется объемом?
                            Я просто тащусь от такой ИБ! :-)

                            Комментарий


                            • #15
                              Сообщение от Алексей Лукацкий Посмотреть сообщение
                              С человеком, видевшим логи прокси-сервера, сложно говорить о морали ;-)
                              Вот это просто классный афоризм!! :-))

                              Комментарий


                              • #16
                                То есть ценность украденного обределяется объемом

                                Объём (вероятно) указывает на принадлежность к социальной или зомбисети, с вытекающими последствиями по поводу украденного.

                                i.e., модель нарушителя не ограничивается проинструктированным агентом разведки или даже "обиженным". Часто, это невольный пособник, по халатности или беспечности. И здесь, подозрительные коннекты или объёмы могут вполне показать на такого сотрудника/его компьютер.

                                Так что не спешите делать скоропалительные выводы.

                                По поводу афоризма. При его многолетнем путешествии по сетям общего пользования пропали несколько букв. Имелись в виду логи того, кто собрался говорить.
                                /kiv

                                Комментарий


                                • #17
                                  Сообщение от Илюха Посмотреть сообщение
                                  То есть ценность украденного обределяется объемом

                                  Объём (вероятно) указывает на принадлежность к социальной или зомбисети, с вытекающими последствиями по поводу украденного.

                                  Так что не спешите делать скоропалительные выводы.
                                  Я вам рекомендую включать ЛОГИКУ.
                                  Смотрите.
                                  "ИБ в анализе трафика может быть интересно когда у пользователя большой исходящий трафик"

                                  1. Значит, если трафик маленький, то служба ИБ на него не обращает внимание.
                                  2. Для чего нужна ИБ? Для безопасности. Значит, маленький трафик безопасность не нарушает, то есть ничего не воруют.
                                  Отсюда вывод: если трафик маленький - угроз для безопасности нет.

                                  И еще. Социальные сети (те же "одноклассники") никогда не отличалсь большим объемом.

                                  Комментарий


                                  • #18
                                    Социальные сети (те же "одноклассники") никогда не отличалсь большим объемом

                                    Безотносительно логики и выводов. Вы привели неудачный пример. Как раз одноклассники - один из самых мусорных сайтов и отличается именно запредельным траффиком. Третий в списке по объёму. Первый - РБК.

                                    А вообще. Вы сказали свою точку зрения. Stnslav сказал свою. Каждый из Вас стал богаче на одну. Это можно ценить. А можно и не ценить. Ну, есть такие люди, которым ценны только свои ошибки...
                                    /kiv

                                    Комментарий


                                    • #19
                                      Stnslav ИБ в анализе трафика может быть интересно когда у пользователя большой исходящий трафик, т.е. появляется мысль, а что он в сеть так много закачал.

                                      И для этого надо городить всю эту мороку с учетом? Опять же повторюсь. Возложите все на ИТ, а с них просто просите ежемесячный отчет по нужному вам срезу. Или просто попросите поставить вам консольку для генерации отчетов в режиме Read-Only.

                                      Илюха Как раз одноклассники - один из самых мусорных сайтов и отличается именно запредельным траффиком. Третий в списке по объёму. Первый - РБК.

                                      В чьем списке? В вашем? Или в среднем по Интернет? Последнее ни о чем не говорит. И опять же к безопасности имеет опосредованное отношение ;-)

                                      Объём (вероятно) указывает на принадлежность к социальной или зомбисети, с вытекающими последствиями по поводу украденного.

                                      Зомби тоже не генерит много трафика, если ему не дана команда на реализацию. Но это ловится совершенно другими методами и желательно еще в момент зомбирования.

                                      Комментарий


                                      • #20
                                        В чьем списке? В вашем?

                                        Точнее, логов того прокси, которым я управляю. Ни в коей мере не думал рекламировать РБК. А лично для себя я из чтения оных логов сделал уже несколько выводов. В их числе - нерегистрация на одноклассниках...

                                        Но это ловится совершенно другими методами

                                        При перекладывании рутинной работы на полностью автоматические процедуры, даже посмертный анализ не самое плохое решение.
                                        /kiv

                                        Комментарий


                                        • #21
                                          Ну допустим перекладывать всю процедуру "узаконивания" только на ИТ не совсем верно... проблема учета интернет-трафика это не только их задача. Их задачей это становится только тогда, когда ресурсы (пропускная способность сети, нагрузка серверов, маршрутизаторов, коммутаторов) "исчезают" в неизвестном направлении без очевидных на то причин...
                                          По такой трактовке (спихнуть все в ИТ) получается, что самыми заинтересованными лицами в телефонной прослушке являются связисты, почтовой переписки - работники почты...

                                          Анализ логов и оптимизация интернет-трафика это все-таки цель руководства по сокращению издержек, ну и СБ (службы безопасности, если брать в широком понимании) для реализации "хочу все знать"... Так что "проблемная область" ближе всего к ИБ.
                                          Да пребудет с тобой Сила!

                                          Комментарий


                                          • #22
                                            Сообщение от Berrimor Посмотреть сообщение
                                            Обалдеть!!!
                                            То есть ценность украденного обределяется объемом?
                                            Я просто тащусь от такой ИБ! :-)
                                            Не совсем так, это просто сигнал более пристально обратить внимание на пользователя. Ну а что конкретно "качнули" ведь относительно несложно установить. Ну а уж потом оценивайте "что ушло".

                                            Комментарий


                                            • #23
                                              Сообщение от Berrimor Посмотреть сообщение
                                              Я вам рекомендую включать ЛОГИКУ.
                                              Смотрите.
                                              "ИБ в анализе трафика может быть интересно когда у пользователя большой исходящий трафик"

                                              1. Значит, если трафик маленький, то служба ИБ на него не обращает внимание.
                                              2. Для чего нужна ИБ? Для безопасности. Значит, маленький трафик безопасность не нарушает, то есть ничего не воруют.
                                              Отсюда вывод: если трафик маленький - угроз для безопасности нет.

                                              И еще. Социальные сети (те же "одноклассники") никогда не отличалсь большим объемом.
                                              Логика - кто же спорит что это хорошо. Только не надо передергивать. ИБ - комплексная задача, и анализ трафика только одно из направлений.

                                              Комментарий


                                              • #24
                                                Сообщение от Stnslav Посмотреть сообщение
                                                Не совсем так, это просто сигнал более пристально обратить внимание на пользователя. Ну а что конкретно "качнули" ведь относительно несложно установить. Ну а уж потом оценивайте "что ушло".
                                                Поднимал я тут тему про выход в инет через терминалы...поддержан не был но думаю проблему бы это решило и не пришлось бы трафик контролировать...

                                                Комментарий


                                                • #25
                                                  Turkish По такой трактовке (спихнуть все в ИТ) получается, что самыми заинтересованными лицами в телефонной прослушке являются связисты, почтовой переписки - работники почты...

                                                  Как раз нет. Связисты не заинтересованы в перлюстрации. Их задача обеспечить передачу письма из точки А в точку Б. Сделать это надо оптимальным образом. Для выполнения своей работы необходимо иметь регламент и т.п. Для контроля оптимальности необходимо иметь инструменты измерения и отчетности. Все! То, что к этим результатам могут получить доступ правоохранительные органы еще не значит, что именно милиционеры должны разрабатывать регламент работы почты ;-)

                                                  оптимизация интернет-трафика это все-таки цель руководства по сокращению издержек, ну и СБ

                                                  Оптимизация трафика задача безусловно важная, но заниматься ею должны именно ИТ, а не ИБ.

                                                  Stnslav анализ трафика только одно из направлений

                                                  Только не тот, о котором мы тут спорим ;-) Антивирусный анализ? Может быть. Контроль с помощью IPS/DDoS-решений? Да. Контроль с помощью МСЭ? Да. И регламент их использования должны писать безопасники. Но учет Интернет-трафика... Как это влияет на задачи ИБ? В положении об отделе ИБ это прописано как одна из задач?

                                                  Комментарий


                                                  • #26
                                                    Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                    Turkish

                                                    Stnslav анализ трафика только одно из направлений

                                                    Только не тот, о котором мы тут спорим ;-) Антивирусный анализ? Может быть. Контроль с помощью IPS/DDoS-решений? Да. Контроль с помощью МСЭ? Да. И регламент их использования должны писать безопасники. Но учет Интернет-трафика... Как это влияет на задачи ИБ? В положении об отделе ИБ это прописано как одна из задач?
                                                    В положении об отделе ИБ может такого и нет, но там есть такая задача, как не допустить (выявить) утечку. А контроль трафика это один из инструментов или один из сигнализаторов того, что к пользователю нужно приглядеться повнимательней.

                                                    Комментарий


                                                    • #27
                                                      Поднимал я тут тему про выход в инет через терминалы...поддержан не был

                                                      Например, лично я в Инете сижу на икстерминале линукса (если интересно - обратите внимание на freeNX сервер). А работаю в виндусе. Очень радует, в частности, отсутствие транспорта файлов и безбожно кривой буфер обмена. "Радует" - это не сарказм, я правда радуюсь.

                                                      Не радует то, что икстерминал занимает минимум 400 метров и отжирает некисло cpu на всяких тормогномозиллах. Соответственно, на каждых 10 интернет-серферов нужен будет 1U терминалсервер.
                                                      /kiv

                                                      Комментарий


                                                      • #28
                                                        Сообщение от Stnslav Посмотреть сообщение
                                                        В положении об отделе ИБ может такого и нет, но там есть такая задача, как не допустить (выявить) утечку. А контроль трафика это один из инструментов или один из сигнализаторов того, что к пользователю нужно приглядеться повнимательней.
                                                        Но аккаунтинг (тупой бухгалтерский учет) интернет трафика вносит очень незначительный вклад в решение этой задачи Если он получается как побочный результат контроля Интернет-трафика - да, поняино, это может делать и ИБ. Но как отдельная задача, на которую тратятся ресурсы... Я бы предпочел их на более актуальные задачи тратить.-

                                                        По существу вопроса - отдельных регламентов на такой контроль я ни в одной организации не видел. Видел ведомственный приказ руководителю департамента ИТ организовать учет использования интернет-трафика сотрудниками ведомства и ежемесячно предоставлять результаты учета начальнику ВЦ. На мой взгляд такого приказа вполне достаточно.

                                                        Комментарий


                                                        • #29
                                                          Сообщение от Илюха Посмотреть сообщение
                                                          А лично для себя я из чтения оных логов сделал уже несколько выводов. В их числе - нерегистрация на одноклассниках...
                                                          Э-э-э-э а с какой аргументацией "нерегистрация"?

                                                          Комментарий


                                                          • #30
                                                            Связисты не заинтересованы в перлюстрации. ... Для выполнения своей работы необходимо иметь регламент и т.п. Для контроля оптимальности необходимо иметь инструменты измерения и отчетности. Все! То, что к этим результатам могут получить доступ правоохранительные органы еще не значит, что именно милиционеры должны разрабатывать регламент работы почты ;-)
                                                            Алексей, но и не почта должна писать регламенты работы милиционеров (по контролю почтовых отправлений). Сильно сомневаюсь что операторы фиксированной и сотовой связи сидят пишут регламенты работы с СОРМ.
                                                            Если подытожить: все будет зависить от того с какой целью будет поставлена эта задача руководством. Если только оптимизация издержек на содержание офиса - тогда ИТ, если трактовка будет шире - этим должен заниматься ИБ (совместно с ИТ, если техническим обеспечением занимается ИТ).
                                                            Да пребудет с тобой Сила!

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X