monitorare il traffico internet

[pistodj]

Salve!!

Mi chiedevo se qualcuno di voi mi sa consigliare un buon programma di monitoraggio per il traffico internet in una rete locale lan avente un server che distribuisce l'accesso a internet.

ho gi' provato a smanettare in google ma nn sono riuscito a trovare quasi nulla...

Grazie!!

[gutter]

Cosa intendi per monitorare?

Spiega meglio cosa devi fare.
_________________
Registered as User #281564 and Machines #163761

[pistodj]

devo essere in grado di sapere che connessioni sono state stabilite:
-da che utente o ip
-quando
-dove si e' connesso
- come (porta)

esempio se tizio si e' scaricato 50 mb di mp3 io tramite dei registri voglio sapere se lo ha fatto!!
per cui se un giorno devo sapere se 4 settimane fa un tizio ha dei download o altro io devo essere in grado di dimostrarlo!!

[gutter]

Non penso che tu lo possa fare semplicemenete con usa solo applicazione, penso che ti serva almeno un firewall ed un proxy di livello applicativo che faccia il log. Tutto dipende da che protocolli vuoi controllare.
_________________
Registered as User #281564 and Machines #163761

[pistodj]

a me interessa l'http e https e ch più ne ha più ne metta!!
A me infine interessa la sicurezza della rete interna e per renderla sicura devo essere in grado di monitorarla!!
cmq che proxy applicativo mi consigli e che firewall??

[hellraiser]

per il firewall senz altro iptables...configurato bene, con le giuste regole che ti logghi quel che ti interessa...

per il proxy non so se squid possa andare bene...bho
_________________
Io non sono nessuno...ma nessuno è come me!

"Open Source is a good idea..."

[pistodj]

iptable già lo conosco ma con cosa lo configuro?? ora già ce l'ho ma mi parte con uno script di bash ma in quanto a log nn so nulla!!

conosci programmi che gestiscano la configurazione di esso via grazica o browser in modo serio??

[hellraiser]

ci sarebbe shorewall, di cui tutti ne parlano bene...ma sinceramente io non l ho mai provato..preferisco impostarmi iptables tutto da solo, in modo da saper in modo preciso quel che faccia
_________________
Io non sono nessuno...ma nessuno è come me!

"Open Source is a good idea..."

[pistodj]

all'ora ci do un'occhiata!!

cmq se vi posto il mio script di iptables potete darci un'occhiata?? Tanto per vedere se ci sono gravi lacune!!

[hellraiser]

si ok prova a postarlo...cosi vediamo di darti una mano...
_________________
Io non sono nessuno...ma nessuno è come me!

"Open Source is a good idea..."

[klaudyo]

Ho letto di sfuggita tutto il thread, quindi forse do un suggerimento sbagliato. Ad ogni modo per gestire la rete è utile anche SNMP che è un protocollo per la gestione di rete.

Su Interent si troba molta documentazione e quello che serve è in Portage. Non so, giusto per avere qualcosa in più da valutare....

[pistodj]

ecco il mio script di iptables:

tenete presente che il mio server ha due schede di rete una per collegarsi al router e una per collegarsi alla rete locale

[drizztbsd]

uhm ntop faceva qualcosa di simile credo (non lo uso da troppo tempo)
oppure sì un classico iptables logging magari con query via web in php
_________________
Gentoo/Alt lead
Gentoo/*BSD and Gentoo/FreeBSD deputy lead
Paludis contributor

[Truzzone]

Anch'io sono interessato a qualcosa di simile, cioè voglio riuscire ad implementare un "registro" del tipo ip_locale-sito_o_servizio_richiesto, in modo tale che anche dopo un mese riesca a risalire dove è chi utilizzava quell'indirizzo ip_locale, è fattibile senza l'ausilio di un proxy? È possibile farlo con il semplice iptables (link howto)?
Ho provato ntop, però da quello che ho visto non ha un'history di un determinato ip_locale, ma solamente quello che sta visitando in quel preciso momento, se non ricordo male

Ciao by Truzzone

[federico]

Come programmi esistono anche mrtg e darkstat, non so se fanno al caso vostro. Eventualmente iptables coi log segna tutto

Federico
_________________
Sideralis www.sideralis.org
Pic http://blackman.amicofigo.com/gallery
Arduino http://www.arduino.cc
Chi aveva potuto aveva spaccato
2000 pezzi buttati là
Molti saluti,qualche domanda
Semplice come musica punk

[FonderiaDigitale]

puoi usare squid come transparent proxy, nella box che fa da gateway.
ricordati di usare USE=snmp di modo tale da poterlo monitorare dall'esterno.
usando snmp, puoi monitorarlo con cacti per fare dei grafici tipo questo http://stats.it.gac.edu/cacti/graph.php?local_graph_id=6293&rra_id=all&type=tree


per quanto riguarda ip-access-ore ecc, ti servono degli strumenti come questi: http://merlino.merlinobbs.net/Squid-Book/HTML/sec-strumenti-di-analisi-dei-log.html
_________________
Come disse un amico, i sistemisti sono un po' come gli artigiani per l'informatica

[.:chrome:.]

[pistodj]

awstats sembra giusto ciò che mi serve!!
a colpo docchio nn ho capito una cosa...
riesco anche vedere chi della mia lan interna è andato dove o so solo se uno della mia lan è andato dove??

[.:chrome:.]

[Taglia]

E usare snort?
_________________
Taglia
./ do NOT click ...
./ Mentecritica: Non esistono questioni di principio

[.:chrome:.]

[pistodj]

cosa sarebbe snort?? che funzionalità ha in più...??

[.:chrome:.]

[comio]

[Taglia]

Appunto ... analizzare il traffico ... è un IDS ma ciò non vuol dire che lo posso utilizzare anche per analizzare altre cose rispetto alle intrusioni (es scoprire e loggare chi scarica mp3)... o mi sbaglio?
_________________
Taglia
./ do NOT click ...
./ Mentecritica: Non esistono questioni di principio