[es] - monitoring lan-a

knjaz_milos
Druga Dalmatinska brigada
Serbia

Član broj: 13377
Poruke: 22
*.166.eunet.yu.

Profil

^{01.12.2004. u 20:24 - pre 235 meseci}

Pozdrav svima...imam jedan problem pa vas sve molim za savet.

Da odmah predjem na stvar....javio mi se prijatelj sa problemom sledece prirode,radi u maloj firmi ciji LAN ima izlaz na internet i oni dobijaju ,za njih visok ,racun od njihovog provajdera,te je mene zamolio (posto ja imam malo vise iskustva sa racunarima od njega) da pokusam da proverim sta se tacno desava jer niko od zaposlenih po njihovim recima nije niti vrsio velik download niti imaju viruse.Moja je zamisao da ja sa laptopom bez znanja vecine radnika se prikacim na njihovu mrezu i vidim sta se tacno desava i kakav saobracaj se vrsi i sta rade te sve radne stanice,znaci bez da fizicki sedim za njihovim racunarima ili da ista instaliram na njihovim masinama.Pokusao sam sa nekim sniffer-ima ali tumacenje logova ,protokola i ko je gde sta radio i isao ,ne ide mi bas najbolje i najbrze...ima li neki elegantniji tj. more user-friendly nacin da se ovo odradi ? Interesuju me resenja bazirana na win platformama. Molim za savete,unapred hvala.

Odgovor na temu

jogurt
Zoran Milenković
nettverkskonsulent
Norway

Član broj: 13800
Poruke: 472
*.co.yu
Via: [es] mailing liste

Jabber: jogurt@elitesecurity.org
ICQ: 309530264

+8 Profil

Re: monitoring lan-a

^{01.12.2004. u 23:42 - pre 235 meseci}

Da li ces resiti ovaj problem ili ne zavisi pre svega od toga kako je taj
LAN resen.

Prvo, utvrdi da li korisnicke masine koriste fixne IP adrese? Ako ne,
recimo dobijaju ih dinamicki iz opsega adresa od DHCP servera, onda nemas
nacina da vidis sta ko radi.

Dalje, utvrdi imaju li neki proxy server ili na net idu direktno preko
default gateway-a? Ako ga imaju, da li ga mozda korisnici zaobilaze? Na
proxy serveru obavezno treba ukljuciti logovanje saobracaja. Po source IP
adresama bi ste lako utvrdili ko je prvi na top listi downloadera. Ako je
broj korisnika mali to moze i "golim okom" da se vidi. Jos je lakse kada
proxy server podrzava SNMP (npr. Squid). Onda mu samo aktiviras SNMP, a
pomocu MRTG-a (koji recimo instaliras na proxy masinu) iscrtavas saobracaj
koji generisu korisnici i vadis preciznu statistiku ostvarenog HTTP
saobracaja za svaki IP ponaosob i sve to u proizvoljnom intervalu vremena.

Zatim, ako korisnici mogu sami sebi da setuju fiksne adrese, onda to opet
ne valja, jer ako imaju imalo pojma o mrezama i svesni su da se njihova
aktivnost loguje na proxy serveru, onda su uvek u mogucnosti da u
odredjenom trenutku sami sebi setuju neku slobodnu IP adresu iz subneta
koji se koristi u LANu i sa tom adresom krenu u nedozvoljeni download.

Dakle, ili naterati ih sve kroz proxy ili neko mora da izigrava policajca :-)

Ako nema proxy-ja probaj svoj laptop da iskoristis kao proxy. Za to ce ti
trebati dve mrezne i instalirani i iskonfigurisani MRTG i Squid.

Sto se tice snifovanja saobracaja u svicovnoj mrezi, nije nemoguce, ali to
bolje zaboravi kao easy varijantu.

Srecno!

Odgovor na temu

tweeester
Ivan Arandjelovic
bg yu

Član broj: 724
Poruke: 882
*.kc.vicert.com.

Sajt: www.javasvet.net

Profil

Re: monitoring lan-a

^{02.12.2004. u 08:20 - pre 235 meseci}

Baci pogled na ovu stranu, narocito na diagram kako umetnuti hub:
http://www.effetech.com/help/sniffer-faq.htm

Pozdrav

p.s. hub ti treba da bi mogao da sniff-ujes sve pakete, switch to ne omogucava (po default-u, ali neki mogu da se podese ...)

<< tko leti vrijedi, tko ne leti ne vrijedi >>

Odgovor na temu