Ferramentas para analisar o tráfego através de um firewall?

Navegue suas respostas
2

Temos uma configuração do pfSense com 2 conexões WAN (3Mb / se 17Mb / s) e estamos usando o tcpdump para registrar a configuração da conexão e solicitações de DNS. Gostaríamos de analisar os lugares que estão sendo conectados com um olho para assistir a trojans e outros programas de home dial. Existem ferramentas para esse tipo de análise?

Eu vi o Tool analisar o tráfego da web por arquivo e período de tempo? e as respostas parecem ser para observar o tráfego de entrada para um servidor da Web, onde isso é mais uma revisão do tráfego de saída.

Não estamos usando o squid porque não descobrimos como fazê-lo funcionar em um modo de failover. Com as conexões de largura de banda assimétrica, temos algumas coisas que sempre entram / saem nos 3Mb / s (como e-mail), mas queremos que o material da web saia pela conexão de 17Mb / s, a menos que ele esteja inativo. failover para a conexão de 3Mb / s, e isso é algo que não descobrimos como configurar.

A outra coisa sobre essa configuração é que gostaríamos de observar também o tráfego que não é da web. Gostaríamos de ver quais conexões de saída estão sendo feitas (clientes de chat, ssh .....). O principal uso é observar atividades maliciosas. Algo para ajudar essa atividade a levantar uma bandeira vermelha ...

    
por boatcoder 22.02.2011 / 18:30

3 respostas

1

Se você quiser monitorar o tráfego por motivos de segurança e alertar com base nisso, a ferramenta para isso é chamada de Sistema de Detecção de Intrusão (IDS) .

Uma ferramenta popular para isso é Snort . Você pode executá-lo no Windows ou no Linux (e talvez no BSD?). Eu colocaria isso em uma máquina separada. Ele poderia, então, farejar o tráfego da WAN fazendo com que seus switches executassem Mirror Ports para cada uma das conexões WAN.

Portanto, as conexões WAN passam pelos seus switches (provavelmente em sua própria VLAN) e cada uma tem uma porta de espelhamento. Essas portas Mirror estão conectadas à sua caixa IDS para que o IDS veja uma cópia de todo o tráfego da WAN. Se o IDS perceber algo engraçado no tráfego da WAN, ele enviará um alerta.

    
por 22.02.2011 / 18:34
0

O Squid deve usar qualquer interface, qualquer que seja o roteador como prioridade mais alta. Como você está direcionando o tráfego para interfaces específicas? Você está usando regras de firewall? (IE a configuração do gateway na parte inferior da página de criação de regras)

Observe que, se você estiver tentando equilibrá-lo usando regras e tentar usar o squid no modo de proxy transparente, o tráfego de saída sempre parecerá vir do endereço do roteador e não da máquina que originalmente solicitou.

O Snort está disponível como um pacote para o pfSense, se a máquina do seu roteador for poderosa o suficiente para lidar com a execução, assim como é um dever normal.

    
por 22.02.2011 / 19:10
0

O Squid não pode ser usado como um proxy transparente com conexões multi-wan no pfsense. O roteador tem dois endereços, mas o pfsense usará somente a primeira conexão wan, não qualquer interface wan opcional. Não importa como você tenta rotear o tráfego, o squid irá ignorar todas as regras de roteamento e usar apenas o gateway padrão principal para todo o tráfego que ele processa.

    
por 22.02.2011 / 20:44

Tags

Configurações do eAccelerator para PHP / Centos / Apache Nexenta sob KVM?