Jak monitorować działania pracowników w sieci?
- Kamil Folga,
- 28.03.2011, godz. 08:45
PIX Logging Architecture: analiza dzienników zdarzeń urzą
Nieinwazyjna kontrola sieci
Przedstawione metody kontroli wymagają ingerencji w komputer użytkownika. Przeważnie konieczna jest instalacja oprogramowania, które dostarcza niezbędnych danych aplikacjom analizującym. Zaawansowany użytkownik z uprawnieniami administratora jest jednak w stanie wyłączyć aplikację zbierającą dane z komputera.
Zobacz również:
Rozwiązaniem problemu może być kontrola ruchu sieciowego na poziomie urządzenia, bezpośrednio obsługującego połączenie internetowe. Najprostsze będzie logowanie wszystkich przychodzących i wychodzących pakietów za pomocą serwera np. syslog. Zebrane dane mogą być przetwarzane i analizowane, zarówno przez oprogramowanie dostępne na rynku (np. ManageEngine Firewall Log Analyzer), jak i skrypty własnego autorstwa. Równie łatwo i efektywnie mogą w monitorowaniu urządzenia pomóc mechanizmy NetFlow lub sFlow. Dane NetFlow/sFlow z routera czy zapory ogniowej są przesyłane na serwer (kolektor + analizator) obsługujący tę technologię. Serwer ma możliwość analizowania przepływów i na ich podstawie określania aktywności danej stacji roboczej w sieci wewnętrznej. Aktywność określają: ilość danych pobranych i wysłanych, połączenia z serwerami czy rozkład danych z konkretnych aplikacji. Przykładem aplikacji zbierającej i analizującej przepływy jest NTOP. Jednak nie wszystkie urządzenia obsługują ten mechanizm.
NTOP: przykład aplikacji monitorującej przepływy
Część urządzeń pozwala na analizę ruchu w czasie rzeczywistym bezpośrednio z poziomu aplikacji zarządzającej. Taka funkcjonalność jest szczególnie przydatna przy konieczności podjęcia natychmiastowej reakcji na zwiększone wykorzystanie łącza internetowego, czy pojawienie się wirusa/robaka na komputerze użytkownika.
Regulamin + rozwiązania techniczne
Kontrola korzystania przez pracownika z narzędzi IT nie jest łatwym zadaniem. Rozsądnym rozwiązaniem jest stosowanie odpowiedniego regulaminu pracy w odniesieniu do wykorzystania komputera oraz sieci przez pracowników.
Na podstawie ustaleń wewnętrznych możemy zrealizować pasywną ochronę, polegającą na zablokowaniu niedozwolonych usług oraz ograniczeniu uprawnień w zarządzaniu komputerem.
Ponadto warto zapisywać każdą aktywność sieciową, aby gdy okaże się to niezbędne - poddać ją analizie. Jeżeli oczekiwania są większe i zachodzi konieczność kontroli oraz zdalnego monitorowania komputerów pracowników, pozostaje wiele mniej lub bardziej rozbudowanych aplikacji dobrze realizujących te zadania.
Powyższy materiał to tylko fragment artykułu Kontrola aktywności użytkowników w sieci. Zapraszamy do lektury jego pełnej wersji.