网络监控：每位管理员应注意的事项

 
我们讨论了解网络上正在发生的事情的重要性，并提供一些有关如何有效执行此操作的提示
如果您有业务，几乎可以肯定您拥有网络。与之相连的将是许多盒花样，而您可能并不完全了解它们。如今，从服务器到门铃，从空调控制器到价值一百万美元的MRI机器，任何东西都可以上网，而天堂知道什么。
我们已经习惯了这一点。就像“云”一样，网络已成为建筑物结构中不起眼的部分。至少，它应该不显着-但是随着监管机构和保险公司的意识到，风险和限制比比皆是，因此确保您的网络安全，可靠和受到适当监控至关重要。
不幸的是，这是一个说起来容易做起来难的情况。如果您是新企业家，超出了Wi-Fi的限制，或者难以置信地盯着升级报价，那么这种情况似乎令人生畏。再一次，在规模的另一端，我遇到了天真的灵魂，他们以为所有网络都以某种方式内置了监视功能。
密切关注网络的责任并不新鲜，但它是一个比过去更加复杂的问题：合规性规则没有区分内部部署和内部云架构，许多标准可以追溯到几年前，这会使事情进一步复杂化。
无论您采用哪种云战略，成功都取决于网络与数字化转型保持同步的能力。在本白皮书中了解有关为云优先世界优化网络的更多信息。
现在就下载
你在找什么?
从管理员的角度来看，在网络监视方面有两个关键问题：空间和时间。这看似宏伟，但是当您考虑一下时，整个网络监视过程实际上是一个影子网络，其中包含用户创建和存储的所有文件的详细信息以及所有Internet流量。数据存储库很有可能会成为您业务中最大，最苛刻的服务器。
我说过，有两个关键问题，但正如广义相对论一样，时间和空间可能奇怪地相等。拥有更多空间意味着您可以存储更长的日志，并分析日志以了解各种趋势和预兆。这可能是非常有价值的，因为监视不仅是寻找可疑的连接，例如HTTP数据包进入中国的某个地方。当前的威胁更加微妙，可能仅在较长时间内显示出它们的本色。如果有人设法在您网络上的计算机上安装远程控制应用程序，那么他们可能会在几天或几周的时间内仅谨慎而缓慢地利用它。
因此，大多数管理员希望保留几周的日志，如果他们自己掌握预算，则可能要保存一个月。监管者和检查员可能需要多年的档案，但是档案库越大，询问甚至是简单问题所花费的时间就越长–因此，大多数专家都在寻求平衡。
云监控
在某些方面，云管理员比处理本地或混合网络的同行要艰苦得多。即使企业仅使用SaaS云服务，并严格与基于Web的服务进行交互，它仍将具有需要传统监控的本地设备。最重要的是，根据定义，运行云产品的服务器和虚拟机超出了公司自身基础架构的范围，那么您该怎么办?您可以尝试让Google在您的云邮箱前插入流量监控器，但是显然您不太可能获得这种访问权限。试图找到正确的方法，同时寻求满足自信的老板的想法可能有点像走钢丝，可以理解的是，他们希望看到适用于您的网络安全的最佳监控实践。
一个超限问题
“ transfinite”一词虽然很豪华，但对于网络监控的挑战来说并不是一个很好的选择。问题的核心是：如果您尝试绘制人类和自然构造及其相对复杂性的连续体，那么网络监控适合什么地方?
为了解决这个棘手的问题，让我们看一下Alan Turing的理论上第一台计算机。它仅由一台机器组成，该机器可以在连续的纸带卷上标记一个标记，然后将其读回，擦拭并洗净。听起来非常基础，但是Turing显示，任何计算问题都可以在这种机器上编码并解决。
这与网络监视有什么关系?好吧，仔细看一下网络上的连接：孤立地看，每个连接都很简单。但是IPv4并不仅仅是一个“标记”：它具有256种潜在的标记组合，并串在一起多达40亿个地址，并且对通过行发送和接收的实际数据进行编码。
这就是为什么出现“ transfinite”一词的原因：这是在计算中听到的不寻常的术语，它使人们陷入困境，迫使他们退出销售模式并获得控制。因此，当您查看网络监控软件并认为它有点贵，或者对系统有沉重的要求时，请记住上下文：您可能会问的一些问题本质上是无法回答的。不是因为缺少软件，而是因为如果不跳过结果中的一或两个无穷大，就无法给出答案。
他说，她说
监视网络上发生的事情时，最大的担忧之一就是监听。
事实是，在没有任何一方知道自己被窃听的情况下，加入网络对话相对容易。不乏听起来不错的数据包嗅探器和光学分接头，如果您使用的是受控以太网交换机，则甚至可以调整配置，以便将在一个端口上看到的所有流量都复制到另一个端口上。当然，这种间谍活动需要内部人员进行，而且您的间谍还需要设置一些机器或软件来接收这些传入的数据包并对其进行有用的处理。
也许最重要的事情是识别正在监听的内容。自网络诞生以来，就一直存在专用的记录器，但是我怀疑许多人会愿意参加该历史课程，因为这种事情引起的关注程度始于示波器功能。我们感兴趣的是架构上的四个更高级别–数据包的内容。
对于这种级别的检查，实际上只有一个地方可以开始调查，那就是Wireshark。
在这里，您可以以出版商的名义下载世界上最重要的以太网分析仪。 Wireshark软件是免费的，跨平台的和开源的。它也非常古老，一直为那些甚至还记得这些的人提供对在MS-DOS中运行的版本的持续支持。
Wireshark的上古时代是一种优势，因为它意味着它已经发展为可以处理您可以想象的各种网络情况。随着物联网在我们周围蔓延，云吸收了您所有的服务器功能，考虑到晦涩的网络分析器的DOS或BSD端口似乎很奇怪，但这全都取决于操作系统。在Windows机器上，Wireshark安装了一个称为WinPcap的小型后台实用程序，该实用程序将网络流量复制到另一台设备(您的网络监视器)。这是同轴电缆和绿屏PC时代的过时概念，但对于解决驻留在云端的服务器问题，它也是一个完美的解决方案。在云VM上运行后台流量复印机可以消除所有关于托管伙伴，扩展规模，平台不兼容等方面的复杂考虑。只是不要忘记该软件正在运行：大多数云服务都对流量收取费用，而这种工具从其本质上讲使云实例处理的流量增加了一倍。