Monitoriando una LAN

[frutillus]

Busque en la web algun programa o grupo de programas que me permitiera loguear y analizar trafico http (en especial la cabecera y mas aun el nombre de la pagina) para determinar a que paginas acceden los usuarios de una LAN y no encontre nada, por lo menos que cumpliera con lo que queria. La configuracion es la tipica y mas simple: un Gentoo Linux conectado a Internet, haciendo masquerade.

El tema es que el "jefe" quiere ver en que paginas se meten sus usuarios, asique lo mejor seria presentar estos logs en formato web o algo parecido para que pueda leerlos el mismo sin necesidad de que yo se los lea y explique.

Alguien que haya tenido el mismo problema me puede recomendar algun/os programa/s?, es imposible?. Se que con squid se puede pero no quiero ponerlo :).

Muchas gracias.

[Cadorna]

si la máquina usa Squid como proxy, en la página del squid hay varios analizadores de tráfico (por ejemplo squidalayzer), si no usa squid te sugeriría que lo uses ya que con el cache podés optimizar bastante tu ancho de banda además de poder ver los logs de los sitios visitados

[ackward]

Lo que buscas se consigue con squid.

Yo ya lo hice para un cliente, en su fw le configure el proxy cache autentificando los usuarios contra el dominio NT y unas simples listas de acceso. (si no tienes dominio, ldap o lo que sea como sistema de usuarios centralizado es un coñazo la gestion).

Ademas de los tipicas aplicaciones de estadisticas web (webtrends, webalizer,awstats) y de las estadisticas de la cache (calamaris, este a tu jefe se la soplara) hay una pequeña aplicacion llamada "sarg" que es de lo mas fascista que he visto en bastante tiempo en el mundo libre te muestra por usuario que paginas visita, a cuales, en que horas, cuales son las mas visitadas, etc... uno no puede ni tomarse un respiro porque el jefe sabe que te pasaste media mañana leyendo barrapunto o slashdot. Pero bueno es la misma funcionalidad que ofrece un sistema de cache web de los que valen millones y estan en funcionamiento en cualquier empresa mediana.

Luego modificando las listas de acceso deniegas las paginas que quieras (que tambien aparecen en las estadisticas) y a quien quieras.

La unica pega es que la autentificacion de usuarios se pega con el proxy transparente asi que obligas a que todo el mundo actualice sus navegadores para que tiren contra la ip:puerto del proxy cache mientras deniegas toda salida por el puerto 80.

Una 'ventaja' colateral de filtrar todo el trafico saliente y no permitir mas que salida web desde la cache y servicios concretos como correo, pop, imap a ips concretas tambien es que tambien registras mucho trafico 'alternativo'. Por ejemplo el messenger, tanto msn, como aim, yahoo,... si no pueden salir por sus puertos por defecto acaban tirando via web, al estar cortado se pueden configurar para que utilicen el proxy y voila ya tienes auditadas la conexiones de mensajeria instantanea.

[ackward]

uhmm.. acabo de leer que no quieres hacerlo con squid

¿Por que no quieres squid, por problemas morales (demasiada informacion en manos del jefe) o tecnicos (demasiado complicado)?

Otra solucion es montar snort y configurar una regla que loguee todas las peticiones http salientes pero info de usuarios 0.

[asmatic]

[boogerman]

Los siento, no hablo espan~ol bien. Yo usa la programa snort para analizando el trafico del LAN. No puedes ver las paginas que los otros viste` con este prrgrama, pero es muy bien para securidad y analizand trafico. Tambien, el mejor de los firewalls no puede ver lo porque es una programa pasivo.

[diehck]

HOla!
Me gustaria saber si alguien me puede ayudar con este problema, resulta que quiero instalar el sarg y me tira el sigueinte error cuando lo esta instalando.

>>> Emerging (1 of 1) net-analyzer/sarg-2.2.5 to /
* sarg-2.2.5.tar.gz RMD160 SHA1 SHA256 size ... [ ok ]
* sarg-2.2.3.1-lots-of-compiler-warnings.patch.gz RMD160 SHA1 SHA256 size ... [ ok ]
* checking ebuild checksums ... [ ok ]
* checking auxfile checksums ... [ ok ]
* checking miscfile checksums ... [ ok ]
* checking sarg-2.2.5.tar.gz ... [ ok ]
* checking sarg-2.2.3.1-lots-of-compiler-warnings.patch.gz ... [ ok ]
*
* ERROR: net-analyzer/sarg-2.2.5 failed.
* Call stack:
* ebuild.sh, line 49: Called pkg_setup
* sarg-2.2.5.ebuild, line 21: Called die
* The specific snippet of code:
* built_with_use -a media-libs/gd png || die \
* "Please recompile media-libs/gd with USE=\"png\""
* The die message:
* Please recompile media-libs/gd with USE="png"
*
* If you need support, post the topmost build error, and the call stack if relevant.
* A complete build log is located at '/var/tmp/portage/net-analyzer/sarg-2.2.5/temp/build.log'.
* The ebuild environment file is located at '/var/tmp/portage/net-analyzer/sarg-2.2.5/temp/die.env'.
*

* Messages for package net-analyzer/sarg-2.2.5:

*
* ERROR: net-analyzer/sarg-2.2.5 failed.
* Call stack:
* ebuild.sh, line 49: Called pkg_setup
* sarg-2.2.5.ebuild, line 21: Called die
* The specific snippet of code:
* built_with_use -a media-libs/gd png || die \
* "Please recompile media-libs/gd with USE=\"png\""
* The die message:
* Please recompile media-libs/gd with USE="png"
*
* If you need support, post the topmost build error, and the call stack if relevant.
* A complete build log is located at '/var/tmp/portage/net-analyzer/sarg-2.2.5/temp/build.log'.
* The ebuild environment file is located at '/var/tmp/portage/net-analyzer/sarg-2.2.5/temp/die.env'.
*
Alguien sabe como podria solucinar el problema?
Mil gracias. Saludos

[Zagloj]

Esa es fácil, ahí te lo dice, recompila gd con soporte png.

[Coghan]

Como ya te ha cometado @Zagloj el problema te lo está indicando el log del mismo emerge, recompila media-libs/gd con la USE flags png activada, pero desaconsejo la manera que te indica ya que al hacer una actualización del sistema volverá a compilarse sin esta flags nuevamente. Para recompilar gd agrega png a la variable USE de tu /etc/make.conf o si no quieres tener soporte global agrega la siguiente línea al fichero /etc/portage/package.use:

[diehck]

Antes que nada MIL GRACIAS POR LA ATENCION. Les cuento que Probe compilar como dijo Zagloj y termino de lujo, pero me gustaria hacer la configuracion para no tener mas problemas, mi pregunta es la siguente: puede ser que no tenga el archivo mencionado /etc/portage/ ?

[Zagloj]

Creo que hay un sistema nuevo pero no lo encuentro y no me acuerdo (no con package.use, package.keywords...). El caso es que ese archivo puedes no tenerlo, tú crea el archivo dentro del directorio portage si quieres pero... yo que tú recompilaría todo con png, es decir, la añadiría al make.conf, porque si usas gimp, visores de imágenes, etc., casi seguro querrás ese soporte en general. De todos modos con crear ese archivo listo, si no lo tienes es normal, no se crea por defecto.

[diehck]

Ok, entonces lo voy a configurar en el make.conf. Mil gracias!
Saludos,

[diehck]

Hola Gente!
Queria preguntarles por el Sarg, me muestra las graficas de Barra sin ningun texto, totalmente vacias. Alguien tiene alguna idea de porque hace esto?
Saludos,