Мониторинг сетевого трафика в офисе: кто и сколько качает — видим всё, не нарушая закон

Прихожу как-то к клиенту — небольшая юрфирма, 18 рабочих мест — и слышу: «Интернет тормозит с обеда каждый день, провайдер говорит, что всё хорошо». Смотрю на роутер, смотрю на коммутатор. Никакого мониторинга, никаких данных — просто дырка в стене и кабели. За полчаса мы увидели картину: один сотрудник стримил обучающие видео с YouTube на 4K, другой синхронизировал Яндекс.Диск с домашним бэкапом на 40 гигабайт. Вот и весь «сломанный интернет». Этот материал — о том, как видеть трафик без шпионажа, без нарушения трудового права и без дорогих систем.

Зачем вообще смотреть на трафик, если интернет «работает»

Хороший вопрос. Большинство моих клиентов спохватываются только тогда, когда что-то пошло не так: тормозит 1С при работе через RDP, видеозвонки с контрагентами рассыпаются, бухгалтер жалуется, что выгрузка в банк-клиент идёт минуту вместо пяти секунд. И вот тут начинается детектив.

На самом деле мониторинг трафика — это не про недоверие к людям. Это про деньги и про управление ресурсом, который вы оплачиваете. Тариф 100 Мбит/с у провайдера стоит условно 3 500 рублей в месяц. Если половину этой полосы занимает YouTube или торрент — вы буквально платите за чужое кино. При этом ваша бухгалтерия, работающая через RDP с облачным сервером 1С, получает жалкие остатки. Это просто неэффективное использование ресурса, не более.

Есть и вторая сторона: аномалии. Если какой-то компьютер внезапно начал генерировать 50 гигабайт исходящего трафика ночью — это уже не YouTube. Это либо вирус, либо майнер, либо что-то ещё неприятное. Мониторинг позволяет заметить это раньше, чем проблема станет дорогостоящей. Я видел случаи, когда небольшая компания платила за корпоративный тариф 300 Мбит/с, а ночью через неё гнали трафик боты — машина была скомпрометирована. Без мониторинга это обнаружили через три месяца, когда провайдер выставил претензию.

Что говорит трудовое право: где граница между контролем и слежкой

Вот тут многие путаются, и я понимаю почему. Трудовой кодекс, 152-ФЗ о персональных данных, здравый смысл — всё это надо как-то совместить. Разберу коротко, без юридического занудства.

Мониторинг сетевого трафика на уровне сети — то есть вы смотрите, сколько данных прошло с IP-адреса, на какие порты и протоколы — это законно и не требует согласия сотрудников, если прописано во внутренних документах. Главное слово здесь: прописано. В правилах трудового распорядка или в политике использования корпоративных ресурсов должна быть строчка о том, что корпоративная сеть контролируется. Такой документ под подпись — и вы в порядке. Это не шпионаж, это управление инфраструктурой.

А вот что нельзя без серьёзных оснований и оформленного согласия — читать переписку, перехватывать личные сообщения, снимать скриншоты экрана, записывать нажатия клавиш. Это уже слежка. Я принципиально не помогаю клиентам настраивать подобное — и не потому что боюсь, а потому что считаю это неправильным инструментом управления. Если у вас в компании дошло до клавиатурных шпионов, у вас проблема не с сотрудниками, а с процессами найма и управления. Мониторинг трафика — это про инфраструктуру, не про слежку за людьми.

Встроенные средства роутера: самый быстрый старт

Начну с самого простого варианта, который доступен буквально прямо сейчас, если у вас стоит нормальный роутер. Mikrotik, Zyxel Keenetic Pro, Cisco RV-серия, Ubiquiti EdgeRouter — всё это из коробки умеет показывать статистику по трафику. Не нужно ничего устанавливать, не нужен отдельный сервер.

В Mikrotik, например, есть инструмент Torch — он в реальном времени показывает, какие IP-адреса сколько трафика потребляют прямо сейчас, по каким протоколам, на какие адреса. Открываете IP → Traffic Flow или просто Torch на интерфейсе — и за пять минут понимаете общую картину. Для фиксации статистики по времени есть Graphing: включаете, и роутер сам рисует графики по каждому интерфейсу. Ничего платить не надо — это встроено в RouterOS, которая стоит уже в вашем железе.

Keenetic, который популярен у небольших офисов из-за простоты настройки, в прошивках последних лет тоже умеет показывать статистику по устройствам. В разделе «Мониторинг» видите, кто сколько съел за день, за неделю. Грубо, без деталей по протоколам, но для первичной диагностики хватает. Один мой клиент — небольшой магазин стройматериалов, 8 компьютеров — обнаружил через этот экран, что складской компьютер каждую ночь качает что-то по 2–3 гигабайта. Оказалось, Windows Update без ограничений скачивал обновления. Настроили расписание — и ночные просадки пропали.

ntopng: нормальный инструмент для тех, кто хочет видеть детали

Если роутерной статистики мало и вы хотите видеть реальную картину — протоколы, домены, приложения, графики по времени — стоит посмотреть на ntopng. Это open source инструмент, работает на отдельной машине или виртуалке, принимает данные через зеркалирование порта (port mirror / SPAN) или через NetFlow/sFlow, который умеет отдавать большинство бизнес-роутеров.

Схема простая. На Mikrotik или на Cisco включаете экспорт NetFlow — это стандартный протокол, где роутер отправляет на коллектор информацию о каждом потоке: откуда, куда, сколько байт, какой протокол. ntopng принимает эти данные и рисует красивые дашборды. Видите топ-10 хостов по трафику, видите топ приложений — YouTube, Dropbox, 1С, Teams — и сразу понятно, куда уходит полоса. Это не перехват содержимого. Это метаданные потоков. Никакой личной переписки вы не видите — только факт: с этого IP 4 гигабайта ушло на адреса Netflix за последние три часа.

Поставить ntopng можно на простую виртуалку с Ubuntu, 2 ядра и 4 гигабайта памяти хватает для сети до 50 устройств. Community-версия бесплатная. Есть платные варианты с расширенной аналитикой и отчётами — от 15 000 рублей в год за небольшой офис — но для начала free-версии более чем достаточно. Интерфейс на русском не локализован, но там всё интуитивно: графики, таблицы, фильтры. Разобраться несложно.

Port mirror против NetFlow: что выбрать и как это работает

Немного технического объяснения без воды, потому что этот выбор влияет на то, какое железо вам понадобится. Port mirror — это когда коммутатор копирует весь трафик с одного или нескольких портов на специальный порт, куда подключена ваша машина с ntopng. Полная копия пакетов, включая заголовки. Это точнее, но требует, чтобы ваш коммутатор умел SPAN (не все дешёвые свитчи умеют) и чтобы сервер успевал переваривать весь поток. На большой сети это может быть нагрузкой.

NetFlow — умнее. Роутер сам агрегирует потоки и отправляет на коллектор только статистику: такой-то IP соединился с таким-то IP, протокол TCP порт 443, 15 мегабайт за 20 секунд. Не пакеты, а сводка. Нагрузка на коллектор минимальная, и для понимания того, куда уходит трафик, этого хватает с запасом. Именно этот вариант я чаще всего рекомендую: включаете NetFlow на Mikrotik, указываете IP и порт ntopng — и всё. Минут 15 настройки.

Есть ещё третий путь — если у вас в офисе стоит pfSense или OPNsense вместо коммерческого роутера (а это бесплатные и очень мощные решения), там встроен ntopng как пакет. Ставите в один клик прямо из интерфейса, без отдельного сервера. Я нескольким клиентам поставил OPNsense на небольшой неттоп за 8 000 рублей — и получили одновременно нормальный файрвол, VPN и мониторинг трафика в одном флаконе. Это честно выгоднее, чем покупать отдельный Mikrotik и отдельный сервер для мониторинга.

Как интерпретировать то, что видите, и что с этим делать

Хорошо, данные есть. Что дальше? Смотрите на топ по объёму — кто занимает больше всего полосы. Если видите YouTube, Кинопоиск, Twitch в рабочее время — вопрос к руководству, а не к IT. Технически можно закрыть эти ресурсы, и иногда клиенты просят это сделать. Но я всегда говорю: сначала поговорите с людьми. Закрытие сайтов без объяснения рождает недовольство и желание обойти блокировку через VPN — а с VPN-трафиком вы уже вообще ничего не видите.

Смотрите на аномалии по времени. Если в 23:00, когда офис закрыт, с какого-то IP идёт устойчивый исходящий трафик — надо разбираться. Это может быть легитимное: бэкап на облако, обновления Windows. Но может быть и плохое. У меня был случай с небольшой медклиникой: ночью с одного компьютера шёл трафик на подозрительные IP-адреса в Нидерландах. Оказалось, устаревший браузер был заражён, машина входила в ботнет. КриптоПро и 1С работали нормально, антивирус ничего не показывал — а трафик показал.

Третье — смотрите на протоколы. Большой исходящий UDP-трафик на нестандартные порты — потенциальный признак туннелей или P2P. Много DNS-запросов к нестандартным серверам — возможно, что-то пытается уйти от контроля. Не надо сразу паниковать, но отметить стоит. ntopng хорошо детектирует приложения через DPI — это глубокий анализ пакетов на уровне протокола, не содержания — и показывает не просто IP, а «это BitTorrent» или «это Telegram». Это очень помогает.

Блокировать или не блокировать: практический подход

Мой совет: не торопитесь с блокировками. Сначала понаблюдайте неделю-две, соберите данные. Посмотрите, есть ли реальная проблема с полосой или просто кажется. Если 100 мегабит в среднем загружены на 20% и всё работает — может, не надо ничего закрывать. Если реальная бизнес-задача страдает из-за того, что кто-то смотрит стримы — тогда да, ограничиваем.

Технически ограничения бывают двух видов: шейпинг и блокировка. Шейпинг — это когда YouTube работает, но не быстрее 5 мегабит. Человек может посмотреть видео в обед, но 4K в рабочее время не потянет, и на бизнес-трафик это не влияет. Блокировка — полное закрытие. Я предпочитаю шейпинг: меньше конфликтов, больше гибкости. На Mikrotik это настраивается через Queue Tree или Simple Queues буквально за 20 минут.

И ещё раз про документы. Прежде чем что-то ограничивать или мониторить — сделайте это частью внутренней политики. Один абзац в правилах внутреннего распорядка, под подпись при приёме на работу или допсоглашением с текущими сотрудниками. Не потому что иначе вас посадят — а потому что прозрачность убирает конфликты. Когда человек знает, что трафик считается, он сам меньше качает торренты с рабочего IP.

Частые вопросы

Нужен ли отдельный сервер для ntopng или можно поставить на обычный компьютер?
Для небольшой сети до 30–40 устройств хватит любой машины с 4 гигабайтами памяти и двухъядерным процессором. Можно поставить на старый системный блок, который иначе пылился бы в углу, или создать виртуальную машину на Hyper-V или VMware, если у вас уже есть сервер. Community-версия ntopng бесплатна, а Ubuntu Server как основа тоже ничего не стоит. Итого — 0 рублей лицензий, только время на настройку.

Видит ли ntopng содержимое переписки в Telegram или почте?
Нет. ntopng работает с метаданными потоков — кто с кем соединился, сколько данных передал, какое приложение. Содержимое зашифрованных соединений HTTPS и мессенджеров он не видит и не расшифровывает. Вы знаете факт соединения, но не то, что было внутри. Именно поэтому такой мониторинг законен как контроль корпоративной инфраструктуры и не является перехватом личных сообщений.

Что делать, если провайдерский роутер стоит, и в него не залезть?
Это частая ситуация с арендованным оборудованием провайдера. Решение простое: поставьте за ним свой роутер — Mikrotik hEX за 4 500 рублей справится с сетью до 50 устройств. Весь корпоративный трафик пойдёт через ваше железо, которое вы полностью контролируете. Включаете NetFlow, настраиваете ntopng — и через час видите полную картину. Провайдерское оборудование остаётся, но превращается просто в модем.

Можно ли настроить оповещения, если кто-то вдруг начал качать очень много?
Да, и это одна из самых полезных функций. В ntopng есть система алертов: задаёте порог — например, больше 10 гигабайт с одного IP за час — и получаете уведомление на почту или в Telegram. Это позволяет не сидеть и не смотреть в дашборд постоянно, а реагировать только когда что-то реально выбивается из нормы. Платная версия ntopng умеет более гибкие триггеры, но и в бесплатной базовые пороговые алерты настраиваются без проблем.