Hálózat monitorozása tartományi gépekben

 ( gentoojedi | 2018. május 15., kedd - 8:43 )

Adott egy Windows 2008R2 Server, benne 35 db kliens Windows 7 és Windows 10 vegyesen.
Szeretnénk a kedves kollégák elsősorban webes tevékenységét, hálózati forgalmát (terhelés) monitorozni, nem nyitna-e meg szándékosan biztonsági szempontból kiemelkedően veszélyes honlapokat, mivel a pendriveról futtatható telepítés nélkül használható alkalmazások korát éljük van is visszaélés rendesen. Természetesen van végpontvédelem, de nem árt az óvatosság, továbbá a szándékosan felelőtlen és károkozó munkatársak kiszűrése a cél.
Nyilván megfelelő routerrel lenne a legcélszerűbb ezt megtenni, van is egy komolyabb Mikrotik routerünk, de mivel a várostól kapjuk a netet, nem kaptunk root jogot a router manageléséhez, még a port nyittatás is körülményes.

Elsősorban ingyenes megoldás kellene, de ennek hiányában, továbbá a későbbi költségvetési terv elkészítéséhez jöhet fizetős, de lehetőleg örök licences és ne bérleti konstrukció, azzal már tele van a padlás, továbbá pályázati szempontból is körülményesebb.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

ezek között a peremfeltételek között talán az a legegyszerűbb ha beraksz egy dns szervert, dhcp-vel letolod ezt az összes kliens torkán és elkezded csak a dns lekéréseket naplózni. Ebből is elég sok dolog ki tud derülni. Ha ez nem ad elég pontos képet akkor lehet bonyolítani a dolgot; nem tudom mekkora a sávszélességetek, de sejtésem szerint az sem okozna túl nagy fejfájást ha bedobnál egy saját eszközt a szolgáltató routere és a belső hálózat közé. Azon garantáltan átmegy minden.

a felettem irt dns otlet teljesen jo kezdesnek. Azonban a 0. lepes egy belso szabalyzat elkeszites es a dolgozokkal valo alairatasa kell legyen, hogy mostantol kezdve monitorozni fogjatok a forgalmat.

--
"dolgozni mar reg nem akarok" - HZ 'iddqd' zoli berserk mode-ba kapcsol

Beraksz egy linuxos proxyt a router elé.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Linuxos Proxy +1

Isten nem kér belőlem,
az ördög viszont még nem enged.
"Red Reddington"

https://goo.gl/RA3vyD

Rossz a szál tárgya.

Mindenképpen egy megfelelő utm, gw kell Neked. Indulásnak egy opnsense vagy pfsense, vagy valami hasonló, feketén sophos utm free, de a káros oldalakat csak akkor fogod tudni, ha valaki katalogizal, így mindenképpen egy elofizetessel rendelkező megoldás lesz a legjobb.

Fontos az av és egyéb védelem de ssl decrypt nélkül nincs értelme. A másik plusz, hogy egy fizetős vagy ingyenes de védelemmel ellátott DNS szerver is nagyon sokat segíthet, vagyis a router vagy az utm használja ezt, pl openvpn.

dansguardian + squid3 + dns log

Ja es Informatikai Biztonsagi Szabalyzat.
Es ha igazan vad akarsz lenni akkor snort vagy security onion es mirror port.