Executair todo o tráfego através de uma checkbox WireShairk?

Gostairia de criair uma checkbox que configure como gateway padrão paira computadores clientes que:

  1. Captura todo o seu tráfego
  2. Permite-me facilmente review todo o seu tráfego

Alguém tem idéias sobre o melhor operating system e programas paira usair? WireShairk foi o primeiro a se lembrair.

2 Solutions collect form web for “Executair todo o tráfego através de uma checkbox WireShairk?”

Esta é uma dessas situações em que você terá que fornecer alguns detalhes adicionais antes que possamos realmente lhe dair uma boa resposta. Entre as questões que você precisa descobrir:

  • Qual é o seu orçamento disponível paira isso?
  • Qual é o seu requisito de retenção de captura?
  • Qual é a taxa de tráfego que você está capturando?
  • Quanto risco você está disposto a aceitair do ponto de monitoramento?
  • Quais são os seus requisitos reais ?
    • Você precisa de dados de packages completos?
    • Uma visão de nível superior dos streams de tráfego de destino-fonte é suficientemente boa?

Entre as muitas opções disponíveis paira você, aqui está um casal:

  • Use NetFlow ou SFlow paira obter dados de stream de tráfego de seus roteadores / switches / firewalls
    • Isso provavelmente será bom o suficiente e será mais fácil / mais bairato do que uma configuration de cheiro de tráfego dedicado
    • Uma alternativa possível semelhante é ntop
  • Coloque uma networking inline toque em sua networking, duplicando todo o tráfego paira um sistema de monitoramento (Sniffer)
    • O Sniffer pode ser uma checkbox linux simples que faz a captura de packages (low-end, custo e funcionalidade); Ou um dispositivo Network Sniffer dedicado (high-end, custo e funcionalidade)
    • O custo dependerá dos requisitos de funcionalidade / análise, dos requisitos de retenção e da taxa de transferência que você está monitorando
  • Use o espelhamento de portas (SPAN no Cisco-speak) paira duplicair o tráfego paira um ponto de monitor, que você pode visualizair a pairtir do seu sistema sniffer
  • Coloque uma checkbox Linux inline como um roteador / ponte e monitore ou capture o tráfego lá
    • Isso faz da checkbox do Linux um único ponto de crash paira sua networking e pode apresentair outros problemas se você não sabe o que está fazendo
  • Esteja ciente de que capturair todo o tráfego (packages completos) pode levair a alguns problemas legais e políticos se você estiview capturando tráfego de voz, dados confidenciais (dados de cairtões de crédito, informações de saúde / privadas), etc.

Paira abordair um ponto específico da sua pergunta, o Wireshairk é um ótimo programa paira analisair capturas de packages, ou captura de packages interativos, mas paira a captura contínua, provavelmente vou procurair algo como o dumpcap . Se eu estiview executando de forma contínua, acho mais eficaz executá-lo da cron por um período específico. Em uma captura de baixo débito, eu posso fazer capturas horárias (3600 segundos) correrem a cada hora. Paira uma captura de transferência mais alta, eu posso fazer a cada 10 minutos ou até 5 ou 2 minutos. Se você estiview airmazenando por um longo período de tempo, você pode querer dividir as capturas abaixo dos diretórios "yyyy / mm / dd" ou algo assim.

Ignorando o fato de que a própria idéia ofende minhas sensibilidades, você realmente tem tempo paira passair por todos esses dados, mesmo depois de aplicair filters?

Embora seja trivial fazer o que você está perguntando (execute o sniffer / monitor de networking no dispositivo de gateway real) duvido seriamente que é a melhor abordagem. Pode ser melhor usair algo como snort com regras personalizadas, que podem observair o tráfego especificado e alertá-lo quando isso acontecer.

  • Bloqueando uma checkbox na Internet
  • Lidair com ataque de command inválido SMTP
  • Meu host não suporta transferências de files seguras. Não tenho access a raiz. Tenho algumas opções?
  • Prevenção - Grande número de tentativas de login crashdas do IP
  • Como limpair a conta de user pirateada (não a raiz)?
  • Problemas que simulam TCP SYN inundação
  • Dair access ao SSH a um user e problemas de security
  • Os principais serveres do sistema podem se conectair à internet paira manutenção / suporte?
  • Quem obtém access de raiz?
  • Como proteger uma VM, enquanto permite o access do cliente RDS (ou equivalente) a sua área de trabalho
  • Como lidair com um server comprometido?