Port mirroring e sniffer

[TheGodfather]

Ciao a tutti...
Un'azienda vuole tenere monitorata l'attività di rete dei propri dipendenti e mi ha chiesto di fornire report settimanali tipo questo:

CLIENT1 28-01-04 15.30 HTTP www.virgilio.it
CLIENT2 28-01-04 15.30 SMTP mario@azienda.it -> info@dest.it "Oggetto" "Testo"
CLIENT2 28-01-04 15.30 POP3 info@dest.it --> mario@azienda.it "Oggetto" "Testo"

Questa azienda ha la rete configurata in questo modo:
Client --> Switch --> Firewall --> Internet

Vorrei analizzare tutti i pacchetti in entrata ed in uscita sulle porte HTTP e HTTPS, FTP e FTP-DATA, NNTP, POP3 e SMTP.
Informandomi ho visto che la soluzione al mio problema era attivare il port mirroring sullo switch per reindirizzare una copia di tutti i pacchetti interessati su un PC dedicato al monitoraggio.
Secondo voi è la soluzione migliore?

Su questo PC girerà uno sniffer (che sto progettando) che analizzerà i pacchetti in entrata e produrrà dei logs e delle statistiche.

I pacchetti sono composti da questi dati:
IPSource, IPDest, PortSource, PortDest, PacketLen, Protocol, Data
Io intercetto solo il protocollo TCP e le porte specificate prima.

Quando il client digita l'indirizzo "www.virgilio.it" sul browser lo sniffer intercetta circa 160 pacchetti in entrata sulla Porta 80.

Come faccio a sapere quali di questi pacchetti analizzare per avere l'indirizzo testuale della pagina digitata, il titolo e magari anche altre informazioni?

Come faccio a riassemblare e ricostruire i pacchetti?

Le informazioni contenute nel pacchetto come faccio a trasformarle in formato ASCII?

Potete suggerirmi link o libri sull'argomento?

Forse ho fatto anche troppe domande...

Grazie

[Habanero]

secondo me ti stai facendo la barba con un machete!
scusa la battuta.

Ma con un port mirroring mandi anche una copia di tutto il traffico di rete, di tutto il traffico che non è HTTP etc...

A te poi serve un'analisi di protocollo a livello applicazione e non ha senso ricostruirsi i pacchetti a livello IP!

Secondo me la soluzione migliore e più rapida è un proxy server http posto, per esempio, tra lo switch e il firewall.

Sicuramente così puoi fare delle statistiche direttamente a livello http. Così ti risparmi tante grane.

[Habanero]

scusa ho notato adesso che a te interessano anche altri protocolli...

comunque il concetto è lo stesso sono tutti protocolli a livello applicazione.

[TheGodfather]

Io avevo già proposto la soluzione ma erano contro l'installazione di un proxy per svariati motivi che non ti sto a spiegare.

Abbandonata questa soluzione ho dovuto pensarne altre...
Dato che avevano un switch che permette di reindirizzare solo i dati che provengono dalle porte specificate.

Inoltre il PC (2,4 Ghz 512DDR) è dedicato a questo utilizzo... avrà un gran carico di lavoro considerando che sono una ventina di postazioni per 8 ore al giorno? Ce la fa a tenere botta?

[internet]

Puoi usare la libreria pcap per realizzare lo sniffer

un tutorial
http://www.tcpdump.org/pcap.htm

Considera che l'uso di strumenti come questi e' estremamente utile ma richiede anche alcune cautele, in quanto si rischia di violare diverse norme in tema di intercettazione abusiva (codice penale), trattamento dei dati personali (L 675/96) e statuto dei lavoratori (L 300/70).

Quindi se sei tu il datore o il sysadmin, considera la consulenza di un legale.

[TheGodfather]

Grazie tanto adesso la provo...

Per il problema legale penso non ci siano problemi poichè hanno fatto firmare un documento a tutti i dipendenti dove veniva dato il consenso all'uso di strumenti di monitoraggio per scopi statistici e di uso interno...

Dovrebbe bastare...

Grazie ancora