Executar todo o tráfego através de uma caixa WireShark?

Navegue suas respostas
1

Gostaria de criar uma caixa que eu configure como gateway padrão para computadores clientes que:

  1. Captura todo o tráfego deles
  2. Permite-me rever facilmente todo o tráfego deles

Alguém tem algumas ideias sobre o melhor sistema operacional e programas para usar? WireShark foi o primeiro a se lembrar.

    
por Kirk Ouimet 13.06.2012 / 06:46

2 respostas

3

Esta é uma daquelas situações em que você terá que fornecer alguns detalhes adicionais antes que possamos realmente lhe dar uma resposta muito boa. Entre as perguntas que você precisa descobrir:

  • Qual é o seu orçamento disponível para isso?
  • Qual é o seu requisito de retenção de captura?
  • Qual é a taxa de tráfego que você está capturando?
  • Quanto risco você está disposto a aceitar do ponto de monitoramento?
  • Quais são os seus requisitos reais ?
    • Você precisa de dados completos de pacotes?
    • Uma visualização de nível mais alto dos fluxos de tráfego de origem-destino é boa o suficiente?

Entre as muitas opções disponíveis para você, aqui está um par:

  • Use NetFlow ou SFlow para obter dados de fluxo de tráfego de seus roteadores / switches / firewalls
    • Isso provavelmente será bom o suficiente e será mais fácil / mais barato do que uma configuração dedicada de farejamento de tráfego
    • Uma possível alternativa semelhante é ntop
  • Coloque um toque de rede em linha na sua rede, duplicando todo o tráfego para um sistema de monitoramento (sniffer)
    • O Sniffer pode ser uma simples caixa linux que faz captura de pacotes (low-end, custo e funcionalidade); Ou um dispositivo de farejador de rede dedicado (high-end, custo e funcionalidade)
    • O custo dependerá dos requisitos de funcionalidade / análise, dos requisitos de retenção e do rendimento que você está monitorando
  • Use o espelhamento de porta (SPAN no Cisco-speak) para duplicar o tráfego para um ponto de monitor, que você pode visualizar a partir do seu sistema sniffer
  • Coloque uma caixa Linux em linha como um roteador / ponte e monitore ou capture o tráfego lá
    • Isso faz da caixa do Linux um ponto único de falha para sua rede e pode apresentar outros problemas se você não souber o que está fazendo
  • Esteja ciente de que capturar todo o tráfego (pacotes completos) pode levar a alguns problemas legais e políticos se você estiver capturando tráfego de voz, dados confidenciais (dados de cartões de crédito, informações pessoais / de saúde) etc.

Para tratar de um ponto específico da sua pergunta, o Wireshark é um ótimo programa para analisar capturas de pacotes ou capturar pacotes interativos, mas para uma captura contínua, eu provavelmente procuraria algo como dumpcap . Se eu estou executando de forma contínua, acho que é mais eficaz para executá-lo a partir de cron para uma duração específica. Em uma captura de baixa taxa de transferência, posso fazer capturas por hora (3600 segundos) a cada hora. Para uma captura de taxa de transferência mais alta, posso fazer a cada 10 minutos ou até 5 ou 2 minutos. Se você for armazenar por um longo tempo, você pode querer dividir as capturas em diretórios "aaaa / mm / dd" ou algo assim.

    
por 13.06.2012 / 07:32
0

Ignorando o fato de que a própria idéia ofende minha sensibilidade, você realmente tem tempo para passar por todos esses dados, mesmo depois de aplicar filtros?

Embora seja trivial fazer o que você está pedindo (execute o sniffer de rede / monitor no dispositivo de gateway real) duvido seriamente que seja a melhor abordagem. Talvez seja melhor usar algo como snort com regras personalizadas, que podem observar o tráfego especificado e alertá-lo quando isso acontecer.

    
por 13.06.2012 / 08:08

Tags

Sintaxe para selecionar vários 'Locais' no apache2 Alerta sobre o acesso à partilha de ficheiros