Transparenta analiza ruchu sieciowego - jak i czym?

Masz problemy z siecią bądź internetem? Zapytaj tu
korni007
Posty: 14
Rejestracja: 01 kwietnia 2014, 14:56

Transparenta analiza ruchu sieciowego - jak i czym?

Post autor: korni007 »

Witam,
Potrzebujemy w firmie,transparentnej analizy ruchu ,które byłoby pomiędzy routerem a siecią lan:
|router| -> debian -> sieć lan
Pomyślałem o jakimś transparentnym proxy ,które analizowało by ruch sieciowy z sieci lan do wan, i zapisywało do logów które można by było przeglądać w wygodnym przeglądarkowym GUI (wykresy z danych dat,dni itp.)
Głównie zależy nam na tym,by można było po numerze IP dojśc kto np. dnia dzisiejszego jakie strony odwiedział,albo statystyka,jakie jest generowane obciążenie sieci w stronę wanu, kto pobral najwięcej danych,kto wysłał najwięcej itp.
W związku z tym mam dwa pytania:
Jak skonfigurować taki serwerek? 2 karty sieciowe to na pewno. Dałoby to się załatwić squidem?
I jak uzyskac tak rozbudowane statystyki? Którym web GUI,jeżeli wybór padłby na squida?

Z góry dziękuje za pomoc,oraz pozdrawiam.
Awatar użytkownika
dedito
Moderator
Posty: 3512
Rejestracja: 18 listopada 2013, 21:07
Lokalizacja: Gliwice

Re: Transparenta analiza ruchu sieciowego - jak i czym?

Post autor: dedito »

Proxy www na squid + odpowiedni routing pakietów lub coś bez squida na jakimś sniferze.
Ja bym przemyślał jeszcze inne rozwiązania:
-switch z mirroringiem na maszynę analizującą (kopie pakietów lecą na inny port do maszyny analizującej).
-odpowiednie oprogramowanie analizujące na komputerach pracowników z serwerem gdzieś w sieci obrabiającym te dane (proszę szukać w Internecie, ja aby nie uprawiać kryptoreklamy pominę przykłady bo są to zazwyczaj programy płatne).
mariaczi
Member
Posty: 1343
Rejestracja: 08 lutego 2008, 12:58
Lokalizacja: localhost@śląskie

Re: Transparenta analiza ruchu sieciowego - jak i czym?

Post autor: mariaczi »

squid + sarg wraz z ipfm + scr_ipfm
Masz wątpliwości jak to poskładać i uruchomić - zapraszam do kontaktu.
Do "zarządzania" na jakie strony można wchodzić np.: squidguard, dansguardian.
korni007
Posty: 14
Rejestracja: 01 kwietnia 2014, 14:56

Re: Transparenta analiza ruchu sieciowego - jak i czym?

Post autor: korni007 »

Chciałbym przetestować ntopng w srodowisku testowym w domu.Mam router na OpenWRT,i netoobka z debianem,na który bym chciał zrobić mirror portu.Jest to możliwe?
Awatar użytkownika
dedito
Moderator
Posty: 3512
Rejestracja: 18 listopada 2013, 21:07
Lokalizacja: Gliwice

Re: Transparenta analiza ruchu sieciowego - jak i czym?

Post autor: dedito »

Tak, na OpenWRT mirroring jest możliwy.
Można to zrobić programowo na rozszerzeniu do iptables o nazwie tee -> https://wiki.openwrt.org/doc/howto/netfilter
lub sprzętowo jeśli switch obsługuje mirroring -> https://wiki.openwrt.org/doc/hardware/switch
W każdym razie czeka cię trochę zabawy z poustawianiem wszystkiego.
Nie wiem czy nie lepiej kupić switcha z miroringiem.
W okolicach 100zł kupisz TL-SG105E.
Rozumiem, że netbook pełnił by rolę analizatora.
korni007
Posty: 14
Rejestracja: 01 kwietnia 2014, 14:56

Re: Transparenta analiza ruchu sieciowego - jak i czym?

Post autor: korni007 »

Zainstalowałem ntopng,komp nasluchuje danego portu na switchu,wszystko fajnie ale...adresy IP widnieją x2 (w vlan0 i vlan1) do tego jest straszny chaos,pełno danych,mało konkretnych rzeczy (np, kto kiedy wszedł na jaką stronę),jest szansa żeby było to bardziej intuicyjne?
Awatar użytkownika
dedito
Moderator
Posty: 3512
Rejestracja: 18 listopada 2013, 21:07
Lokalizacja: Gliwice

Re: Transparenta analiza ruchu sieciowego - jak i czym?

Post autor: dedito »

Trochę mało szczegółów na temat konfiguracji.
korni007
Posty: 14
Rejestracja: 01 kwietnia 2014, 14:56

Re: Transparenta analiza ruchu sieciowego - jak i czym?

Post autor: korni007 »

debian,dwie karty sieciowe - eth0 nasluch,eth1 ip na sztywno, router fortinet podlaczony do switcha do portu 46,na porcie 40 mirroring (switch hp procurve 2810)i w niego wpieta karta eth0.
Awatar użytkownika
dedito
Moderator
Posty: 3512
Rejestracja: 18 listopada 2013, 21:07
Lokalizacja: Gliwice

Re: Transparenta analiza ruchu sieciowego - jak i czym?

Post autor: dedito »

Mirroring obejmuje ruch wchodzący i wychodzący z portu 46?
korni007
Posty: 14
Rejestracja: 01 kwietnia 2014, 14:56

Re: Transparenta analiza ruchu sieciowego - jak i czym?

Post autor: korni007 »

Chcę wiedzieć,jakie jest obciążenie sieci w danym dniu (calosc,i osobno odbieranie,wysylanie)
Oraz, jaki IP w danym dniu odwiedzał strony (i ile czasu bylo utrzymywane polaczenie z strona)
Wszystko oczywiscie archiwizowane/logowane i do wgladu w kazdym momencie.
Tak,cały ruch na porcie 46.
ODPOWIEDZ