Visualizzazione dei risultati da 1 a 6 su 6
  1. #1

    Port mirroring e sniffer

    Ciao a tutti...
    Un'azienda vuole tenere monitorata l'attività di rete dei propri dipendenti e mi ha chiesto di fornire report settimanali tipo questo:

    CLIENT1 28-01-04 15.30 HTTP www.virgilio.it
    CLIENT2 28-01-04 15.30 SMTP mario@azienda.it -> info@dest.it "Oggetto" "Testo"
    CLIENT2 28-01-04 15.30 POP3 info@dest.it --> mario@azienda.it "Oggetto" "Testo"

    Questa azienda ha la rete configurata in questo modo:
    Client --> Switch --> Firewall --> Internet

    Vorrei analizzare tutti i pacchetti in entrata ed in uscita sulle porte HTTP e HTTPS, FTP e FTP-DATA, NNTP, POP3 e SMTP.
    Informandomi ho visto che la soluzione al mio problema era attivare il port mirroring sullo switch per reindirizzare una copia di tutti i pacchetti interessati su un PC dedicato al monitoraggio.
    Secondo voi è la soluzione migliore?

    Su questo PC girerà uno sniffer (che sto progettando) che analizzerà i pacchetti in entrata e produrrà dei logs e delle statistiche.

    I pacchetti sono composti da questi dati:
    IPSource, IPDest, PortSource, PortDest, PacketLen, Protocol, Data
    Io intercetto solo il protocollo TCP e le porte specificate prima.

    Quando il client digita l'indirizzo "www.virgilio.it" sul browser lo sniffer intercetta circa 160 pacchetti in entrata sulla Porta 80.

    Come faccio a sapere quali di questi pacchetti analizzare per avere l'indirizzo testuale della pagina digitata, il titolo e magari anche altre informazioni?

    Come faccio a riassemblare e ricostruire i pacchetti?

    Le informazioni contenute nel pacchetto come faccio a trasformarle in formato ASCII?

    Potete suggerirmi link o libri sull'argomento?

    Forse ho fatto anche troppe domande...

    Grazie
    Baciamo le mani... ThE GoDfAtHeR

  2. #2
    Moderatore di Sicurezza informatica e virus L'avatar di Habanero
    Registrato dal
    Jun 2001
    Messaggi
    9,791
    secondo me ti stai facendo la barba con un machete!
    scusa la battuta.

    Ma con un port mirroring mandi anche una copia di tutto il traffico di rete, di tutto il traffico che non è HTTP etc...

    A te poi serve un'analisi di protocollo a livello applicazione e non ha senso ricostruirsi i pacchetti a livello IP!

    Secondo me la soluzione migliore e più rapida è un proxy server http posto, per esempio, tra lo switch e il firewall.

    Sicuramente così puoi fare delle statistiche direttamente a livello http. Così ti risparmi tante grane.
    Leggi il REGOLAMENTO!

    E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
    Drugo

  3. #3
    Moderatore di Sicurezza informatica e virus L'avatar di Habanero
    Registrato dal
    Jun 2001
    Messaggi
    9,791
    scusa ho notato adesso che a te interessano anche altri protocolli...

    comunque il concetto è lo stesso sono tutti protocolli a livello applicazione.
    Leggi il REGOLAMENTO!

    E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
    Drugo

  4. #4

    Ah lo so che con un proxy si faceva subito.

    Io avevo già proposto la soluzione ma erano contro l'installazione di un proxy per svariati motivi che non ti sto a spiegare.

    Abbandonata questa soluzione ho dovuto pensarne altre...
    Dato che avevano un switch che permette di reindirizzare solo i dati che provengono dalle porte specificate.

    Inoltre il PC (2,4 Ghz 512DDR) è dedicato a questo utilizzo... avrà un gran carico di lavoro considerando che sono una ventina di postazioni per 8 ore al giorno? Ce la fa a tenere botta?
    Baciamo le mani... ThE GoDfAtHeR

  5. #5
    Puoi usare la libreria pcap per realizzare lo sniffer

    un tutorial
    http://www.tcpdump.org/pcap.htm

    Considera che l'uso di strumenti come questi e' estremamente utile ma richiede anche alcune cautele, in quanto si rischia di violare diverse norme in tema di intercettazione abusiva (codice penale), trattamento dei dati personali (L 675/96) e statuto dei lavoratori (L 300/70).

    Quindi se sei tu il datore o il sysadmin, considera la consulenza di un legale.

  6. #6

    Grazie

    Grazie tanto adesso la provo...

    Per il problema legale penso non ci siano problemi poichè hanno fatto firmare un documento a tutti i dipendenti dove veniva dato il consenso all'uso di strumenti di monitoraggio per scopi statistici e di uso interno...

    Dovrebbe bastare...

    Grazie ancora
    Baciamo le mani... ThE GoDfAtHeR

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2019 vBulletin Solutions, Inc. All rights reserved.