Ком­па­ния "Софт Пи Ай", из­вест­ная сво­ими прог­рамм­ны­ми про­дук­та­ми для те­леком­му­ника­ций, та­кими как Ta­ris­co­pe, PBX Hel­per, Soft­PI RA­DI­US, COM2LAN, Soft­PI NetF­low Col­lector, fSo­nar, со­об­ща­ет о вы­ходе но­вой вер­сии сис­те­мы ана­лиза се­тевых по­токов — Flan­sys 1.1.
Но­вая вер­сия об­ла­да­ет ря­дом но­вых функ­ций, а так­же бо­лее вы­сокой на­деж­ностью ра­боты и удобс­твом за счет вне­сен­ных в нее из­ме­нений.

Мо­нито­ринг со­бытий в ре­аль­ном вре­мени

Пе­рера­бота­ны служ­ба Flan­sys Alarm, а так­же прог­рамма наст­рой­ки па­рамет­ров этой служ­бы. На­пом­ним, что служ­ба Flan­sys Alarm поз­во­ля­ет вы­яв­лять за­дан­ные пра­вила­ми со­бытия в се­ти и при вы­пол­не­нии ус­ло­вий пра­вила вы­пол­нять ука­зан­ное дей­ствие. Эту функ­ци­ональ­ность мож­но ис­поль­зо­вать, нап­ри­мер, для вы­яв­ле­ния:

• ра­ботос­по­соб­ности оп­ре­делен­ных се­тевых уст­рой­ств (сер­ве­ров, то­чек дос­ту­па и т.п.),
• пе­рег­рузки в се­ти,
• се­тевых атак,
• и дру­гих со­бытий.

В но­вой вер­сии Flan­sys с по­мощью служ­бы Flan­sys Alarm мож­но вы­яв­лять сле­ду­ющие со­бытия в се­ти:

• пе­реда­чу тра­фика на оп­ре­делен­ные IP ад­ре­са или от­сутс­твие та­кого тра­фика;
• пе­реда­ча оп­ре­делен­но­го ко­личест­ва па­кетов за ука­зан­ный пе­ри­од вре­мени на оп­ре­делен­ные IP ад­ре­са;
• пре­выше­ние за­дан­но­го по­рога ско­рос­ти (заг­рузки) по оп­ре­делен­но­му ин­терфей­су;
• ра­боту конк­рет­ных при­ложе­ний в се­ти;
• ска­ниро­вание се­ти.

Для каж­до­го из этих со­бытий мож­но соз­дать конк­рет­ные пра­вила, на ос­но­вании ко­торых бу­дет вы­пол­не­но од­но или груп­па дей­ствий:

• за­пись в жур­нал,
• отп­рав­ки со­об­ще­ния по элект­рон­ной поч­те на за­дан­ный элект­рон­ный ад­рес,
• вы­пол­не­ние за­дан­но­го сце­нария, нап­ри­мер, по бло­киро­ванию оп­ре­делен­ных пор­тов на ка­ком-то се­тевом уст­рой­стве.

 

Ска­ниро­вание се­ти

Как пра­вило, боль­шинс­тво атак на компьютер­ные се­ти, как из вне, так и из внут­ри се­ти, на­чина­ет­ся с ее пол­но­го ска­ниро­вания или ска­ниро­вания конк­рет­ных се­тевых уст­рой­ств (марш­ру­тиза­торов, то­чек дос­ту­па, сер­ве­ров, компьюте­ров и т.п.). Су­щест­ву­ет це­лый ряд ти­пов ска­ниро­вания, о чем су­щест­ву­ет дос­та­точ­но мно­го ин­форма­ции в ин­тернет, нап­ри­мер, сле­ду­ющая статья.
Flan­sys поз­во­ля­ет вы­яв­лять прак­ти­чес­ки лю­бые ти­пы ска­ниро­вания се­ти, для че­го не­об­хо­димо за­дать со­от­ветс­тву­ющее со­бытие (ри­сунок 1), и при не­об­хо­димос­ти подс­тро­ить па­рамет­ры это­го со­бытия (ри­сунок 2):

• Ко­личест­во отк­ры­тых пор­тов на од­ном се­тевом уст­рой­стве. По это­му па­рамет­ру бу­дут отс­ле­живать­ся IP ад­ре­са, ко­торые по­сыла­ют па­кеты на это се­тевое уст­рой­ство на раз­ные пор­ты. При пре­выше­нии за­дан­но­го ко­личест­ва пор­тов про­ис­хо­дит сра­баты­вание со­бытия "Ска­ниро­вание пор­тов". Этот па­раметр ис­поль­зу­ет­ся для оп­ре­деле­ния ска­ниро­вания конк­рет­но­го се­тево­го уст­рой­ства, ког­да пы­та­ют­ся вы­явить отк­ры­тые на нем пор­ты;
• Ко­личест­во се­тевых уст­рой­ств с од­ним и тем же пор­том. Па­раметр ис­поль­зу­ет­ся для вы­яв­ле­ния ска­ниро­вания се­ти, ког­да пы­та­ют­ся вы­явить ра­боту ка­кого-то конк­рет­но­го при­ложе­ния в се­ти. Ес­ли с конк­рет­но­го IP ад­ре­са бу­дут пос­ла­ны па­кеты на один и тот же порт груп­пе се­тевых уст­рой­ств, ко­личест­во ко­торых бу­дет пре­вышать этот па­раметр, про­ис­хо­дит сра­баты­вание со­бытия "Ска­ниро­вание пор­тов".
• Пе­ри­од вре­мени. Этим па­рамет­ром за­да­ет­ся вре­мен­ной про­межу­ток, в те­чение ко­торо­го бу­дет вы­яв­лять­ся ска­ниро­вание пор­тов.

 

Ри­сунок 1

 

Ри­сунок 2

При не­об­хо­димос­ти с по­мощью па­рамет­ров филь­тра (ри­сунок 1) поль­зо­ватель мо­жет ог­ра­ничить пе­речень се­тевых уст­рой­ств, а так­же конк­рет­ных ин­терфей­сов, для ко­торых бу­дет при­менять­ся это пра­вило.

 

Вы­яв­ле­ние ра­боты оп­ре­делен­но­го при­ложе­ния в се­ти

 
Дру­гим но­вым со­быти­ем, ко­торое до­бав­ле­но в служ­бу Flan­sys Alarm яв­ля­ет­ся вы­яв­ле­ние ра­боты в се­ти оп­ре­делен­ных при­ложе­ний. Наст­рой­ка на вы­яв­ле­ние конк­рет­ных при­ложе­ний вы­пол­ня­ет­ся в ок­не, по­казан­ном на ри­сун­ке 3.

Ри­сунок 3

Поль­зо­ватель мо­жет за­дать тре­бу­емое при­ложе­ние, как пу­тем ука­зания конк­рет­но­го IP про­токо­ла и ин­те­ресу­юще­го пор­та (ди­апа­зона пор­тов), так и вы­бором из спис­ка при­ложе­ний, из­вест­ных сис­те­ме Flan­sys. Как и для лю­бых дру­гих со­бытий поль­зо­ватель мо­жет ог­ра­ничить пра­вило пе­реч­нем ин­те­ресу­ющих его IP ад­ре­сов и/или конк­рет­ны­ми ин­терфей­са­ми.
Слож­но пе­речис­лить все воз­можные слу­чаи, ког­да тре­бу­ет­ся ис­поль­зо­вать это пра­вило. Это мо­жет быть вы­яв­ле­ние ис­поль­зо­вания фай­ло­об­менных се­тей, ис­поль­зо­вания p2p при­ложе­ний, ра­бота с внеш­ни­ми поч­то­выми сер­ве­рами, ис­поль­зо­вание SIP про­токо­ла, об­ще­ния в со­ци­аль­ных се­тях и мно­го дру­гое. Но каж­дый поль­зо­ватель смо­жет наст­ро­ить Flan­sys под собс­твен­ные тре­бова­ния.

Мо­нито­ринг ак­тивных при­ложе­ний в ре­аль­ном вре­мени

 

Пол­ностью пе­рера­ботан от­чет по отс­ле­жива­нию ра­бота­ющих в се­ти при­ложе­ний в ре­аль­ном вре­мени (ри­сунок 4).

Ри­сунок 4

От­чет отоб­ра­жа­ет все ак­тивные при­ложе­ния, ко­торые бы­ли в се­ти в пос­ледние 3-и ми­нуты. При этом раз­ным цве­том вы­деля­ют­ся при­ложе­ния, ко­торые не бы­ли ак­тивны бо­лее 2-х ми­нут (крас­ный), бо­лее 1-й ми­нуты (ко­рич­не­вый) и те, ко­торые бы­ли ак­тивные в пос­леднюю ми­нуту (зе­леный). Поль­зо­ватель мо­жет:

• от­сорти­ровать таб­ли­цу при­ложе­ний по лю­бому из столб­цов;
• прос­мотреть пе­речень IP ад­ре­сов, ко­торые ис­поль­зу­ют конк­рет­ное при­ложе­ние.

От­чет "IP ад­ре­са"

Вне­сено ряд из­ме­нений и до­пол­не­ний в от­че­ты "IP ад­ре­са".
В част­нос­ти, до­бав­ле­ны в таб­ли­цу по­ля: Тип сер­ви­са (ToS) и IP ад­рес сле­ду­юще­го хо­па (hop - один двух­то­чеч­ный от­ре­зок пу­ти пе­реда­чи со­об­ще­ния в се­ти от од­но­го марш­ру­тиза­тора до дру­гого, пря­мое со­еди­нение меж­ду дву­мя компьюте­рами се­ти).
Пер­вый из этих па­рамет­ров — "Тип сер­ви­са", поз­во­ля­ет оце­нивать тип сер­ви­са, ко­торый ус­та­нов­лен для конк­рет­но­го се­тево­го по­тока (ри­сунок 5), а так­же филь­тро­вать или сор­ти­ровать таб­ли­цу по это­му па­рамет­ру.
IP ад­рес сле­ду­юще­го хо­па поз­во­ля­ет оце­нить ис­поль­зу­емую в се­ти марш­ру­тиза­цию.

Ри­сунок 5

Вне­сены из­ме­нения в аг­ре­гиро­ван­ный от­чет "IP ад­ре­са", при­мер ко­торо­го по­казан на ри­сун­ке 6.

Ри­сунок 6

Во-пер­вых, те­перь мож­но лег­ко от­сорти­ровать ин­форма­цию по лю­бому из по­лей. Во-вто­рых, выб­рать не од­ну, а груп­пу строк, иду­щих под­ряд или в слу­чай­ном по­ряд­ке для ис­поль­зо­вания из этих строк IP ад­ре­сов в филь­тре, ко­торый бу­дет при­менен к ос­новной таб­ли­це от­че­та "IP ад­ре­са". В-третьих, при по­луче­нии ин­форма­ции по конк­рет­но­му IP ад­ре­су и до­бав­ле­ния этой се­ти в ба­зу Flan­sys, дан­ные в ос­новной таб­ли­це от­че­та "IP ад­ре­са" ав­то­мати­чес­ки об­новля­ют­ся, т.е. в столб­цах "Опи­сание ис­точни­ка" или "Опи­сание наз­на­чения" вмес­то IP ад­ре­са по­яв­ля­ет­ся на­име­нова­ние се­ти, что обыч­но об­легча­ет ана­лиз таб­ли­цы IP ад­ре­сов.

Об­щие из­ме­нения во Flan­sys

Кро­ме ука­зан­ных вы­ше из­ме­нений от­ме­тим еще сле­ду­ющие:

• По­яви­лась воз­можность пе­ре­име­нова­ния вкла­док от­че­тов, что об­легча­ет ра­боту с сис­те­мой. Нап­ри­мер, ес­ли отк­рыть нес­коль­ко вкла­док с от­че­тами "IP ад­ре­са" и при­менить в каж­дой из них спе­цифи­чес­кий филь­тр, мож­но со­от­ветс­тву­ющим об­ра­зом наз­вать и вклад­ки, что­бы сра­зу бы­ло по­нят­но что она со­дер­жит и чем от­ли­ча­ет­ся друг от дру­га.
• В инс­тал­ля­цию вклю­чены в ба­зу се­тей на­име­нова­ния спе­ци­аль­ных IP ад­ре­сов в со­от­ветс­твии с RFC 3330.

Инс­тал­ля­ция три­ал-вер­сии сис­те­мы Flan­sys 1.1 дос­тупна на сай­те:

Для заг­рузки три­ал-вер­сии не­об­хо­димо за­регист­ри­ровать­ся на сай­те.
По воп­ро­сам при­об­ре­тения сис­те­мы Flan­sys об­ра­щай­тесь в ком­па­нию "Софт Пи Ай", а так­же к на­шим парт­не­рам.