Controllare connessione internet degli utenti dai router

[silvano-66]

Sono l'amministratore di una rete di 29 pc distribuiti in 2 sedi distaccate, per l'esattezza 17 presso la sede principale e 12 presso quella distaccata. Tutte le macchine sono configurate sotto un unico dominio, nella sede principale ho configurato il server DHCP, mentre in quella distaccata ho assegnato degli indirizzi Ip privati statici. Le due sedi si vedono tramite 2 router cisco a cui è stata configurata una VPN, ogni router possiede un'indirizzo pubblico statico che permette di fare uscire tutte le macchine in internet, ho configurato inoltre anche il NAT dinamico. La domanda è la seguente, non essendoci un sever proxy, cioè avendo tutte le macchine accesso al router senza passare dal server, è possibile controllare quali pagine web e quando vengono vistate dai vari utenti della lan? Ovvero, con una configurazione simile, gli utenti possono connettersi quando e come vogliono senza che non mi sia permesso di monitorare e limitare le loro connessioni?
Grazie

[effeggi]

Non hai specificato di che tipo di router si tratta e se, soprattuto, puoi modificarne la configurazione. In un CISCO 2500 oppure 2600 questo tipo di controllo mi sembra non sia possibile. I controlli che puoi inserire sono a livello di access-list che permettono di stabilire regole per il traffico da filtrare o da lasciar passare, registrando, volendo, le violazioni di tali regole (l'opzione LOG in fondo ad ogni access-list). Non mi risulta però, su questi modelli, che ci sia una funzione per loggare quali siti siano effettivamente stati visti e, soprattutto, risalire a chi ha visitato un sito in particolare. Un sistema del genere è facilmente gestibile, invece, come tu immaginavi, da un proxy server. Nell'azienda in cui lavoro utilizziamo con grande soddisfazione Linux con il proxy server Squid configurato. E' in grado di tenere traccia di tutto il traffico generato, di quali URL sono state visitate e da chi (IP e nome utente che ha generato la richiesta). Generainoltre dei bei report in formato HTML con cui puoi vedere il traffico totale e molto altre informazioni.

Aloha

[silvano-66]

Ciao e grazie per la tua risposta, devi sapere che il medesimo quesito, lo ho già posto ai signori di telecom/interbusiness (sono loro che ci forniscono i servizi) e mi hanno detto che dovrei chiederlgli di abilitare i protocolli SNMP su entrambi i router. Immediatamente l'ho fatto, e già i router hanno SNMP disponibile. Ma adesso viene il bello, se è vero che SNMP mi permette di vedere cosa visitano e quando lo fanno, gli utenti della lan, qual'è in pratica lo strumento che concretamente mi permette di farlo? Loro non hanno saputo rispondermi, pertanto vorrei sapere, è vero che SNMP permette tutto ciò? Se si, esiste eventualmente qualche programma che mi permette di usarlo?
Grazie

[effeggi]

Purtroppo non conosco bene il protocollo SNMP dal punto di vista operativo; so che effettivamente è un protocollo semplice per il controllo di alcuni aspetti della rete (Simple Network Management Protocol). Attivandolo su un router e utilizzando un SNMP Query Manager dovresti essere in grado di leggere tutte le informaizoni snmp che il router scrive, anche se mi risulta nuovo il fatto che crei un log anche dei siti visitati e da chi. Comunque dei tool per gestire snmp li trovi in

http://www.snmp.co.uk/mg-soft/homefile.htm

oppure prova a cercare in google qualcosa del genere "lettura dati snmp" o "snmp query manager".

Okkio comunque che SNMP ha diverse vulnerabilità, inoltre assicurati che solo tu possa leggere questi dati snmp e non qualunque utente esterno che esegua una richiesta snmp sul tuo router.
Ribadisco che secondo me è meglio se ti studi pian piano Linux con Squid, oppure se proprio ti piace Microsoft, ISA Server..

Ciao

[silvano-66]

Grazie 1000, comunque, ho attivato solo l'indirizzo ip privato di calasse 10.10.xx.xx della ns. lan per accedere ai protocolli SNMP dei router. Riguardo al server proxy, devo dire che effettivamente ci ho pensato piu' volte, ma data la configurazione della ns. lan penso che sia un po' difficile da realizzarsi se non rivedendo le politiche della sicurezza, mi spiego meglio, la lan gira in Windows 2000 server con un unico dominio e un unico server (potentissimo però unico), ed è strutturata in due sedi distaccate, master e slave. Tutte le macchine entrano negli HUB che a loro volta sonno connessi ai router/modem adsl forniti da telecom. Nei router è configurato il nat dinamico e il pat. Per implementare un proxy con eventualmente ISA server pertanto, dovrei fare entrare tutte le macchine nel server 2000 giusto? Quindi il discorso NAT lo andrebbe a fare il server o sbaglio? Spiegami in maniera schematica che tipo di configurazione dovrei fare?
grazie Ciao

[effeggi]

Schematicamente dovresti far questo:
installare un server Linux con Squid o WIn2k Server con ISA Server o Wingate o comunque un qualsiasi software di proxy server (i migliori ono ISA e Wingate). Questo server dovrà avere (configurazione ottimale) due schede di rete, una con IP privato (es. 10.0.x.x) e l'altra con un ip pubblico (dipende però da ke tipo di contratto di conessione hai, disolito con un HDSL da 2 o 8Mb Telecom da 8 ip fissi). Installi ISA SERVER che provvederà a fare da filtro impostando sul browser dei client l'ip privato dell'ISA. Da ISA ovviamente puoi eseguire tutti i controlli e log del caso. Puoi ovviamente permettere il pasaggio attraverso l'ISA di tutti gli altri protocolli oltre all'http (POP3,SMTP etc etc). In questo modo sarà sempre e comunque il router a NATTARTI verso l'esterno, l'ISA natterà automaticamente ma solo fino al ROUTER, che dovrà avere ovviamente sull eth0 un IP pubblico a questo punto.
Questa è la configurazione tipo che ho io con Linux/Squid. Se non hai più ip pubblici dovresti comunque ovviare e far funzionare il tutto, certo in maniera meno "perfetta" ma funzionale lo stesso: installi Win2k Server con ISA, una sola scheda di rete con ip privato, lasci il router così com'è e imposti sui browser dei client l'ip privato dell'ISA che dovrà essere configurato per usare come default gw l'ip sulla eth0 del router.
Spero di aveti chiarito le idee, certo che sulla carta è tutto semplice in teoria, poi di fatto bisogna vedere se e come va il tutto.

Ciao

[silvano-66]

Grazie, sei una bestia!!

Ciao

[effeggi]

Non c'è di che. Fatti risentire quando hai tutto funzionante.

Ciao

[diegoctn]

Quello che ha scritto effegi è giustissimo. Aggiungo che è preferibile avere due schede ( una comunica con il router e l'altra con la rete). Per essere più sicuro devi mantenere il proxy fuori dominio. Poi se dovessi istallarlo ti do io quattro dritte ( parlo di ISA...). Se vuoi andare sull'economico ( isa costa...) puoi scaricarti un proxy demo a bassissimo costo ( se vuoi solo controllare......). Se poi non vuoi fare questo acquisto e vuoi solo controllare il traffico su internet ricordati che c'è sempre IIS.....Ciao ragazzi.

P.S. Tieniti stretto effegi che è davvero una bestia....:gren: ...spesso mi ha aiutato....ciao effegi.:gren:

[effeggi]

sottoscrivo DiegoCTN