Transparenta analiza ruchu sieciowego - jak i czym?
Transparenta analiza ruchu sieciowego - jak i czym?
Witam,
Potrzebujemy w firmie,transparentnej analizy ruchu ,które byłoby pomiędzy routerem a siecią lan:
|router| -> debian -> sieć lan
Pomyślałem o jakimś transparentnym proxy ,które analizowało by ruch sieciowy z sieci lan do wan, i zapisywało do logów które można by było przeglądać w wygodnym przeglądarkowym GUI (wykresy z danych dat,dni itp.)
Głównie zależy nam na tym,by można było po numerze IP dojśc kto np. dnia dzisiejszego jakie strony odwiedział,albo statystyka,jakie jest generowane obciążenie sieci w stronę wanu, kto pobral najwięcej danych,kto wysłał najwięcej itp.
W związku z tym mam dwa pytania:
Jak skonfigurować taki serwerek? 2 karty sieciowe to na pewno. Dałoby to się załatwić squidem?
I jak uzyskac tak rozbudowane statystyki? Którym web GUI,jeżeli wybór padłby na squida?
Z góry dziękuje za pomoc,oraz pozdrawiam.
Potrzebujemy w firmie,transparentnej analizy ruchu ,które byłoby pomiędzy routerem a siecią lan:
|router| -> debian -> sieć lan
Pomyślałem o jakimś transparentnym proxy ,które analizowało by ruch sieciowy z sieci lan do wan, i zapisywało do logów które można by było przeglądać w wygodnym przeglądarkowym GUI (wykresy z danych dat,dni itp.)
Głównie zależy nam na tym,by można było po numerze IP dojśc kto np. dnia dzisiejszego jakie strony odwiedział,albo statystyka,jakie jest generowane obciążenie sieci w stronę wanu, kto pobral najwięcej danych,kto wysłał najwięcej itp.
W związku z tym mam dwa pytania:
Jak skonfigurować taki serwerek? 2 karty sieciowe to na pewno. Dałoby to się załatwić squidem?
I jak uzyskac tak rozbudowane statystyki? Którym web GUI,jeżeli wybór padłby na squida?
Z góry dziękuje za pomoc,oraz pozdrawiam.
Re: Transparenta analiza ruchu sieciowego - jak i czym?
Proxy www na squid + odpowiedni routing pakietów lub coś bez squida na jakimś sniferze.
Ja bym przemyślał jeszcze inne rozwiązania:
-switch z mirroringiem na maszynę analizującą (kopie pakietów lecą na inny port do maszyny analizującej).
-odpowiednie oprogramowanie analizujące na komputerach pracowników z serwerem gdzieś w sieci obrabiającym te dane (proszę szukać w Internecie, ja aby nie uprawiać kryptoreklamy pominę przykłady bo są to zazwyczaj programy płatne).
Ja bym przemyślał jeszcze inne rozwiązania:
-switch z mirroringiem na maszynę analizującą (kopie pakietów lecą na inny port do maszyny analizującej).
-odpowiednie oprogramowanie analizujące na komputerach pracowników z serwerem gdzieś w sieci obrabiającym te dane (proszę szukać w Internecie, ja aby nie uprawiać kryptoreklamy pominę przykłady bo są to zazwyczaj programy płatne).
Re: Transparenta analiza ruchu sieciowego - jak i czym?
Chciałbym przetestować ntopng w srodowisku testowym w domu.Mam router na OpenWRT,i netoobka z debianem,na który bym chciał zrobić mirror portu.Jest to możliwe?
Re: Transparenta analiza ruchu sieciowego - jak i czym?
Tak, na OpenWRT mirroring jest możliwy.
Można to zrobić programowo na rozszerzeniu do iptables o nazwie tee -> https://wiki.openwrt.org/doc/howto/netfilter
lub sprzętowo jeśli switch obsługuje mirroring -> https://wiki.openwrt.org/doc/hardware/switch
W każdym razie czeka cię trochę zabawy z poustawianiem wszystkiego.
Nie wiem czy nie lepiej kupić switcha z miroringiem.
W okolicach 100zł kupisz TL-SG105E.
Rozumiem, że netbook pełnił by rolę analizatora.
Można to zrobić programowo na rozszerzeniu do iptables o nazwie tee -> https://wiki.openwrt.org/doc/howto/netfilter
lub sprzętowo jeśli switch obsługuje mirroring -> https://wiki.openwrt.org/doc/hardware/switch
W każdym razie czeka cię trochę zabawy z poustawianiem wszystkiego.
Nie wiem czy nie lepiej kupić switcha z miroringiem.
W okolicach 100zł kupisz TL-SG105E.
Rozumiem, że netbook pełnił by rolę analizatora.
Re: Transparenta analiza ruchu sieciowego - jak i czym?
Zainstalowałem ntopng,komp nasluchuje danego portu na switchu,wszystko fajnie ale...adresy IP widnieją x2 (w vlan0 i vlan1) do tego jest straszny chaos,pełno danych,mało konkretnych rzeczy (np, kto kiedy wszedł na jaką stronę),jest szansa żeby było to bardziej intuicyjne?
Re: Transparenta analiza ruchu sieciowego - jak i czym?
Trochę mało szczegółów na temat konfiguracji.
Re: Transparenta analiza ruchu sieciowego - jak i czym?
debian,dwie karty sieciowe - eth0 nasluch,eth1 ip na sztywno, router fortinet podlaczony do switcha do portu 46,na porcie 40 mirroring (switch hp procurve 2810)i w niego wpieta karta eth0.
Re: Transparenta analiza ruchu sieciowego - jak i czym?
Mirroring obejmuje ruch wchodzący i wychodzący z portu 46?
Re: Transparenta analiza ruchu sieciowego - jak i czym?
Chcę wiedzieć,jakie jest obciążenie sieci w danym dniu (calosc,i osobno odbieranie,wysylanie)
Oraz, jaki IP w danym dniu odwiedzał strony (i ile czasu bylo utrzymywane polaczenie z strona)
Wszystko oczywiscie archiwizowane/logowane i do wgladu w kazdym momencie.
Tak,cały ruch na porcie 46.
Oraz, jaki IP w danym dniu odwiedzał strony (i ile czasu bylo utrzymywane polaczenie z strona)
Wszystko oczywiscie archiwizowane/logowane i do wgladu w kazdym momencie.
Tak,cały ruch na porcie 46.