Router típus ajánlás, URL szintű monitorozásra

Hálózati eszközök

Kedves fórumozók!

Remélem, hogy nem kapok a fejemre... Nem tudom mennyire illeszkedik a kérdés az alábbi topikba.

A problémám a következő lenne. Keresek egy olyan ROUTERT, ami az alábbi tulajdonságokkal bír:
- Képes legyen naplózni a legalacsonyabb szinten a rá csatlakozó kliensek internet használati szokásait. Első sorban az érdekelne, hogyha mondjuk böngészik, akkor milyen lapokat nyitott meg, mikor és hányszor.
- Nem gond, ha a fentebb említett naplózást Ő maga nem tudja elvégezni, hanem valami távoli syslog-ng szervernek küldi ki az infókat. Persze a legjobb lenne, ha Ő maga is tudná ezt naplózni és kereshetővé tenni.
- USB port, amire egy külső HDD-t tudok kötni, amit kiajánl a hálózatban résztvevőknek (Win, Linux OS-ek esetén), mint központi NAS. Nyilván nincs szükség a modern fejlett NAS képességekre, elég lenne ha csak annyit tudna, hogy ott lehet fájlokat cserélni egymás között.
- Nyilvánvalóan WiFi képes legyen
- Legyen rajta 1 lan port is, amibe be tudok kötni egy switch-et
- És nem utolsó sorban kisvállalat lévén, ne kerüljön sok száz ezerbe.

A probléma a következő: adott egy kisvállalati környezet alkalmazottakkal, akik sok esetben internetezéssel foglalkoznak a munka helyett (facebook...stb.). Magát a URL-t nem szeretném filterelni, mert szünetbe pl azt csinál, amit akar, de tudni szeretném, hogy ki mivel üti el az időt munka helyett. Erről kimutatásokat kéne készítenem, hogy ki mennyit netezett (időben főleg), mit és mennyiszer nézett meg.

Amit mindenképpen szeretnék elkerülni az egy külön számítógép (firewall, proxy) vállalati szerver beüzemelését, mert nincs hely és így is van zajterhelés az irodában elég, nem szeretnék még egy felesleges rendszert beiktatni, ami tovább rontja a helyzetet.

Akinek van ebben tapasztalta, vagy ismer olyan ROUTERT, ami kisvállalatlati környezetben probléma nélkül tudja tenni a dolgát, azt nagyon megköszönném.

A segítséget és minden nemű épít jellegű hozzászólást előre is köszönök.

  • 3721 megtekintés

( wildy | 2015. 07. 01., sze – 15:26 )

Az etikai reszt felreteve, csak a technikai reszre koncentralva: ehhez bizony bele kell nezni az atmeno HTTP forgalomba, ami nagyon nem router, hanem HTTP(S) proxy feladat. En squid+sarg kombinaciot hasznalnek.

Lehet, hogy én gondolom rosszul, de az nem feltétlenül etikai kérdés, hogy a munkahelyi hálózatot mire használják. Nem szeretnék a HTTP kérések részleteibe bele menni, jelszavak, egyebek, mert ez nem érdekes, csak az, hogy hol barangol. És ott sem feltétlenül azért érdekes, mert kíváncsi vagyok, arra, hogy a ki mit és honnan rendel, vagy bármi, hanem mennyi köthető a munkához és mennyi nem.

Persze, ha ez a munkavállaló jogait sérti, akkor kénytelen leszek újra gondolni a problémát.

Márpedig - ha tetszik, ha nem - sérti.
Mindenképp tájékoztatni kell és egyenként írásban elfogadtatni, hogy tudomásul veszik, hogy igenis naplózod a céges hálózat adatforgalmát. Ez esetben is max. statisztikákat gyűjthetsz, de személyhez köthető adatot nem.
(Hogy a napi céges net forgalom 20%-a a facebook.com felé irányul az egy dolog. Hogy Gizike tegnap 10.32-kor munka helyett az Zöld Rétifütty Egyesület FB oldalát nézegette, az már elvileg ilyen szinten még ideiglenesen sem rögzülhet a logban)

Nálunk ez úgy néz ki, hogy a munkagépek net felé erősen korlátozottak és vannak netezős gépek, amiket munkán kívül szabadon lehet használni. Biztonság szempontjából sem utolsó!

-------------------------------^v-----------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Ez nem egeszen igy van.
Ha a ceges IT szabalyzatban benne van es alairta a munkavallalo, akkor a ceges internet hasznalata igenis visszakovetheto szemelyre menoen. Persze csak user/gep/URL monitorozas volt.

Szted anno a marha draga berelt vonalat egy 4e fos halozatnal nem kellett monitorozni az olyanok miatt, aki munkaidoben mp3-at, filmet toltott le es irta CD-re? (Persze, le volt tiltva csomo minden, csak eppen atneveztek a honlap uzemeltetoi vagy eppen betomoritettek a fileokat, igy hiaba a szures a squidnel:))

Persze, ha ez a munkavállaló jogait sérti,

megfeleloen le kell papirozni, es akkor mehet a loggolas. En egy transzparens proxy-val probalkoznek elso korben. Vagy a kozvetlen 80, 443 portokat kifele blokkolod, es csak a belso proxy-t engeded ki. A usereket meg kiokitani, hogy D-day-tol fogva csak a proxy-n lehet kimenni, ami loggol, whatever. Vagy C verzio: a tuzfal naplojat hasznalod. De akarhogy is csinalod, a korrekt papirozas (meg a loggolas elott) elengedhetetlen.

--
"what is mostly works", "mods that I describe is choosed" (hrgy84 "nem vagyok anyanyelvi angolos")

Nem feltétlenül a munkavállaló jogait sérti, hanem a munkáltató és a munkavállalói elemi biztonsági elvárásait. Pl. mondhatod azt, hogy nincs bankolás munkaidőben - de akkor a könyvelő vagy az ügyvezető hogy fogja az átutalásokat elindítani? Ha viszont van bankolás, és megoldod műszakilag, hogy a titkosított banki forgalmat is olvasgassa a cucc, akkor meg az a szomorú helyzet állhat elő, hogy valaki feltöri (akár bentről, akár kintről) ezt a készüléket, és konkrétan még a pénzét is el tudja lopni a cégnek - figyelembe véve, hogy milyen elvárásaid vannak a készülékkel kapcsolatban (kb. egy soho wifi routeren kéne megoldani, meg ne zúgjon még egy pc, meg hasonlók), nem túlzás azt gondolni, hogy nem lennél esélyes olyan biztonságot kialakítani az eszköznek, hogy azt tuti senki ne tudja feltörni. A risk meg a várható impact alapján én ezt nem tudnám javasolni.
Ha meg a titkosított forgalmakkal nem foglalkozol, akkor már a facebook-kal sem fogsz tudni mit kezdeni (hacsak nem törlöd őket domain név szintjén a rendszeretekből - az működik, de akkor senki semmikor nem fog a cégben facebookolni).

( answ | 2015. 07. 01., sze – 17:32 )

Egyik bankban ezt úgy oldották meg, hogy x idő után már nem tudja elérni az adott honlapot. Tehát például óránként ~5-10 percet tudott Facebook-ozni a dolgozó.
Fogalmam sincs hogyan oldotta meg a bank, viszont szerintem korrekt megoldás: rá tud nézni a privát levelezésére vagy el tud olvasni 1-2 érdekes hírt, de mégis csak ideje kis részét töltheti vele.

Ráadásul ehhez nem kell aláíratni semmit az alkalmazottal.

Ha valaki tudja, hogyan lehet ezt kivitelezni az ne tartsa magában :)

Application layer HTTP(S) proxy: terminálja a HTTP és HTTPS kapcsolatot, így bele tud nézni a titkosított kapcsolatba is (a tanúsítvány ilyenkor lecserélődik röptében, ezzel lehet tettenérni), és a proxy szerveren 1 kattintással állítható azon weboldalak köre, amit időlimites módban tudsz nézegetni. Sok ilyen kereskedelmi szoftver létezik.
--
WP8.x kritika: http://goo.gl/udShvC

( Takaya | 2015. 07. 01., sze – 18:45 )

:OFF
Mondjuk a jogi aggalyokat figyelmen kivul hagyva is, en nem viselnem el munkahelyen az effele baszogatast.
Ameddig hataridore elvegzem a rambizott feladatot, senkit ne erdekeljen mit csinalok, merre netezek es mennyit.
Mondjuk az h pl tuzfal tilt bizonyos tartalmakat (facebook/9gag ilyenek) elfogadom, munkahely, de hogy logoljak a forgalmam? Az azert mar tul van a hataron.

Az a baj, hogy ezzel pont nem eritek el a celt.

Kreativ munkanal nincs nagyobb baromsag annal a munkaltato es a munkavallalo reszerol, hogy napi 8 orat kotelezoen ulj a monitor elott, es tegyel ugy mintha dolgoznal.
Ha meg nem kreativ akkor azokat kell szelektalni akik a legkevsebb munkat vegzik el adott idore.

:ON
De hogy ontopic is legyek egy HTPC lenne erre a legjobb megoldas kulso tappal passziv hutessel 2 LAN kartyaval a router/switch ele bekotve.
Nem sokkal nagyobb mint egy router, plane ha direkt 2.5" hdd-vel szerelheto valtozatot keresel.

--

"You can hide a semi truck in 300 lines of code"

Igen, abba tenyleg bele lehet kotni, csak nem jutott hirtelen eszembe minek nevezzem az ilyen kis kompakt gepeket. Barebone talan?

De kb 50-70.000-bol meg lehet oldani. A gepet beallitani a modem es a switch koze, minden gepnek fix ip-t osztana, es logolna szepen, hogy melyik ip-rol mit neztek meg.
Az egyik usb portba meg mehet egy 3000Ft-os wifi stick es lesz wifi is.

Kisvallalati szinten legtobbszor olcsobb DIY megoldas.

--

"You can hide a semi truck in 300 lines of code"

> de hogy logoljak a forgalmam? Az azert mar tul van a hataron
> napi 8 orat kotelezoen ulj a monitor elott, es tegyel ugy mintha dolgoznal

A kettő között nincs összefüggés. Logolni nem csak azért lehet, hogy utána azzal zsaroljuk a munkavállalót. :) Simán elképzelhető, hogy kötetlen munkaidő, home office lehetőség, stb. mellett is monitorozzák a céges hálózatot.

( ncc1701 | 2015. 07. 01., sze – 19:23 )

Hp gen8 microserver routernek, debian/ubuntu linux-al, squid transparens proxy dansguardian-nal kiegészítve kb erre van kitalálva.

( djsmiley v | 2015. 07. 01., sze – 21:44 )

Ha nem csak látszatmegoldást akarsz és nem az a lényeg h. "álljon meg ötezerbe' főnök" :), akkor ezeket a gyártókat javasolnám megnézni:

Checkpoint
Palo Alto Networks
Watchguard
Fortinet

Ha valóban _mindent_ szeretnél, akkor ez erősen UTM jellegű feladat, hiszen nem ártana az SSL inspection is korrekten, esetleg némi app control, amivel meg a dolgozó kedvét lehet elvenni a facebookozástól (pl. no messenger, no posting, no like, stb.)

Persze lehet tákolni is, nem lesz az sem sz.r, de sosem lesz olyan mint egy UTM

Árérzékenyeknek nem túl nagy sávra főleg a Watchguard lehet megoldás.

Bár tudnám, hogy miért ennyire kiugróan magas az ára ezeknek az eszközöknek. Hardverileg nem lehet sokkal erősebb, mint bármelyik másik TP-LINK, vagy ha mégis, akkor az ma már filléres tétel. Tehát minden az alatta futó szoftveren múlik, ami meg megint csak nem old meg semmi új dolgot, csak egybe gyúrták az egészet. Érdekes ez a szféra, vagy inkább mondom úgy, hogy szint árképzése.

Nem tudom hogy ez csak vicc, mert akkor rohogok telipofaval, vagy csak tenylegennyire nem ismered az UTM.ek vilagat, es hogy mi mennyit zabal fel az eroforrasokbol...
Csak halkan sugom meg hogy nemelyik komolyabb UTM megoldasban olyan hw van ami szerverek buszkesegere is valna, mert kell az eroforras a feladathoz.

Hogy segitsek is, es a jogi maszlagal foglalkoznak itt elegen, en is relative olcson a mikrotiket ajanlom. Amit szeretnel meg lehet vele csinalni. Igaz nem "TP-Link" arkategoria, dragabb....

4 ethernet csatlakozón annyira nagy sávszél nem mehet át, hogy az akkora erőforrást egyen meg, amihez már egy 300ezres vas kell. Megértem, hogy egy szerver park elé kötött router (ahol van néhány gigabites link is), már kell egy kottásabb vas, ami fel tudja az a rettenetes mennyiségű csomagot dolgozni. No de KKV-knél ez nem jellemző, márpedig gondolom nem csak ipari méretekre skálázott routerük van, vagy nem csak rájuk kéne gondolni.

Persze értem én, hogy a KKV-nek ott van a TP-LINK és társai, mert azt nekik méretezték, de hát azok meg olyanok, mint a faék, tisztelet a kivételnek, aminek a firmware-jét le lehet cserélni.

Sajnos a MikroTik eszközöket nem ismerem. Esetleg tudnál olyan típust ajánlani a palletájukról, ami már bevált?

Nyilván nem szempont neked, de egy-egy ilyen eszközben (pl. checkpoint) egy IDS önmagában nagyon megéri a pénzét, ha komoly, business critical cuccokat szolgálsz ki. Ráadásul a többi fícsörről nem is beszéltünk még, amit a SOHO kategóriában nem fogsz megtalálni:
Application control (deep inspectionnel)
Web Content Filtering (és nem, nem _csak_ url alapján)
Threat prevention
GW level anti-virus

stb.stb. :)
Ezért kerülnek ezek sokba.

De pl. egy ilyesmi cucc teljesen reális alternatíva lehet a nagyon drágák körében:
http://www.watchguard.com/wgrd-products/utm/xtm-2/overview

lol...
annyit megsugok hogy a tplink kategoria a NAT-ot is hardverbol csinalja, azert eleg neki az a ~200mhz arm vagy mis proci mert az csak a gui-hoz kell gyakorlatilag. egyszer fejlesztettunk ilyenre layer7 szurest az egyik szolgaltatonak (torrentet akarta korlatozni az ugyfelenel), mindjart leesett a sebessege az addigi 27 mbitrol 2-re. es ebbe nem volt semmi mely analizis vagy ssl vagy barmi ilyesmi, csak par byteot nezett a csomagok elejen hogy az-e ami tilos. (nem is ert semmit a titkositott torrent ellen)

tekintve hogy eleg sok tuzfalat uzemeltetek linuxon szerver hw-n, azert egy osszetettebb szures vagy egy ssl offloading meg tudja enni a vasat rendesen. na meg ezek a kesz dobozok altalaba tudnak spam es virusszurest is, ami mar onmagaban is iszonyu cpu igenyes.

( gazsiazasz | 2015. 07. 01., sze – 21:57 )

én lépnék a cégtől, ha ilyen lenne

( joco01 v | 2015. 07. 01., sze – 22:19 )

Ismeretterjesztő jelleggel ajánlom mindenki figyelmébe ezt a könyvet: http://www.amazon.co.uk/dp/1444792350

Arról szól, hogy egy bizonyos cégnél olyan jól bánnak az emberekkel, hogy az a világ (egyik?) legjobb munkahelye. "Ez bizonyíték, nem ígéret."

Senkit nem érdekelnek ilyenek, hogy a kolléga mivel mennyi időt tölt, még akár Facebookozhat is. Csak az eredmény számít.

Őszintén remélem, hogy egyszer majd mindenki rájön, hogy mi a jó irány, és mi az ellentéte. De úgysem fog, ezért mindig lesznek jó és rossz munkahelyek.

--

Az megint mas, hogy problema eseten megnezik a naplot, mint hogy folyamatosan "kukkol" a kedves kollega, es azt figyeli mennyit es merre netezel munkaidoben.
Egyebkent ha a munkaltatonak ez akkora gond, egy szava se legyen ha a dolgozo 16:01-kor a "teszek ra, majd holnap reggel foglalkozom vele" valaszt adja.

--

"You can hide a semi truck in 300 lines of code"

Én remélem, hogy csak problémás, kérdéses esetben kerül elő a dolog. A másik pedig, hogy a squid logból nemnagyon lehet betippelni, hogy mennyi időt tölt a kedves juzer adott site-on, hiszen mondjuk betölt egy marha hosszú cikket és azt nézi fél óráig vagy állandóan klikkelget 10x1 perces gyorshírekre. A facebook és tsai (még egy roundcube is) használnak automatikus/háttérben történő frissítést, tehát még a háttérben lévő tabnál is lesz forgalom, miközben a juzer nem is foglalkozik vele igazán.

( NoMan | 2015. 07. 02., cs – 08:15 )

Szerintem lehetne a jogi kérdésről hosszasan vitázni. A legtöbb hozzászólás szerint tarthatatlan, hogy a munkáltató ilyen szinten figyelje a munkavállalót. Viszont szerintem az is ugyan annyira a magyar munkamorált jellemzi, hogy ahol tud a munkavállaló keresi a kiskaput és próbál minél kevesebbet dolgozni. Tehát a munkáltató üljön és nézze végig, hogy átverik a fejét, vagy van a másik lehetőség, hogy felállítja a kollégát és keres másikat, ami nagy valószínűséggel ugyan ezt fogja csinálni és a következő is és az azt követő is.

Továbbá azt is olvastam, hogy a munkáltatónak mi köze van hozzá, hogy a munkavállaló mit csinál, ha a projektek határidőre elkészülnek. Ez könnyen lehet. Viszont, nem minden projekt esetében állíthatók fel igazi deadline-ok. Ez szerintem erősen munkakör függő.

Végül pedig... Azzal is védekezhet a munkavállaló, hogy neki kijár egy kis agyi pihenés, mivel egész nap gépnél ül. Sőt törvényileg szabályozott, hogy biztosítani kell 50 percenként 10 perc pihenőt. Rendben van, de akkor álljon fel a géptől és pihenjen. Az, hogy ugyan úgy a gépnél ül és netezik (facebook...stb.) nem kikapcsolás. Tehát harcol a saját jogaiért, amit aztán Ő nem akar betartani.

Egy szónak is száz a vége... Félre értés ne essék. Nem arról van szó, hogy reggel egy lovas boltban kezdtem a vásárlást ostor után nézegetve. Csak szerintem utálni való, amikor hülyének nézik az embert. Viszont amíg nincs a kezemben egy biztos lista arról, hogy adott hónapban feltehetőleg mennyit nem dolgozott, addig csak azt lehet mondani, hogy ejnye-ejnye. Ha viszont látom, hogy a napi 8 órából 3-at böngészős játékok nyomkodásával töltött, akkor egész más lesz a beszélgetés iránya. És persze ha ehhez az kell, hogy aláírjon egy papírt, hogy ezt Ő vállalja és elfogadja, akkor szerintem ez nem lehet probléma. Mint mondtam, nem arra vagyok kíváncsi, hogy a facebook.com/asdf/1234556 oldalt nézte, vagy egy másik aloldalát, hanem arra, hogy facebook.com, vagy msdn.micro...

Viszont ahogy a hozzászólásokból látom, ezt csak egy közbe épített rendszerrel lehet, és nincs erre épített router. Illetve van, de sajnos én is az árérzékeny szférát erősítem. Főleg azért, mert erre jó esetben éves szinten 2x van szükség.

Ui.: a topik célja nem vérlázítás volt... és továbbra sem az a célom, hogy bárkinek is a lelkébe gázoljak, pusztán érdeklődtem, és próbálok infót gyűjteni

És mire ezt nagy erőkkel megvalósítod, onnan akkor a dolgozó a telefonján fog fészbúkolni, és indexet olvasni 3g-n, és ugyanúgy nem dolgozik.

Munkamorált sok féleképp lehet javítani. Az egyik, leglényegesebb a tisztességes fizetés. De érdekes módon ez a legutolsó, ami a munkaadóknak eszébe jut. :)

( bennyh | 2015. 07. 02., cs – 10:19 )

Szerintem, nem baj az ha naplózzuk a forgalamakat. Volt már, hogy rootkitet squid access.log alapján találtunk a hálózatban.

( nikin v | 2015. 07. 02., cs – 20:30 )

Elvben egy 1043ND openwrt-vel meg tudja ezt tenni. Némi limitációval.

http://wiki.openwrt.org/doc/howto/proxy.tinyproxy
http://www.farville.com/home-networks-a-transparent-proxy-to-monitor-ki…

http://wiki.openwrt.org/doc/howto/cifs.server

De etikai szempontból én is problémásnak érzem a dolgot. A minimum, hogy előre tájékoztatni illenék a dolgozókat.

A felhasználóknak pedig:
https://www.torproject.org/projects/torbrowser.html.en
http://collaboradev.com/2011/08/03/browsing-the-web-through-an-ssh-tunn…

### ()__))____________)~~~ #################
# "Ha én veletek, ki ellenetek?" # E130/Arch

( Replaced | 2015. 07. 03., p – 14:29 )

sokkal olcsobban megusznad, ha a dns-t loggolnad

--
NetBSD - Simplicity is prerequisite for reliability

( uid_20269 | 2015. 07. 03., p – 20:52 )

Asus RT N-18, teszel rá Tomato by Shibby-t és örülsz
Még azt is megmutatja ki mit keresett a Google-on
--
God bless you, Captain Hindsight..