Velmi podrobné monitorovaní sítě

[Čmuchal]

Jaké znáte nejpropracovanější softwárové, nebo i hardwárové řešení pro velmi podrobné monitorvání provozu na síti?
Jde mi i o nějaké špionážní funkce. Například kdysi jsem četl, že je možné nějákým útokem dešifrovat HTTPS komunikaci téměř v reálném čase, tak jestli to například někdo integroval do svého produktu.

[Reklama]

[Čmuchal]

Mám na mysli něco, co by sloužilo jako router a provádělo nějakou hlubokou analýzu provozu.

[Pupi_1]

Viem, ze od spolocnosti CISCO su routre, ktore dokazu monitorovat internet. konkretne ide o technologiu NetFlow.

[PANKapitanRUM]

Třeba router TURRIS óóóó jak ho miluji

[JardaP .]

Mrknete na http://www.xplico.org, ale https asi tezko. Pokud potrebujete lepsi, musite se obratit na NSA.

[Reklama]

[trolololollo]

ak kontrolujete pocitace v sieti, da sa aj https...SSL proxy spoofujuca certifikaty, cert autorita ktore ich generuje musi byt trusted na jednotlivych pc... ma v ponuke napr Bluecoat ale aj ini...

[Jimm]

A je to morální? K čemu to má sloužit? To mi už přijde lepší blokace.

[Sten]

HTTPS komunikaci jde dešifrovat tak, že proxy generuje certifikáty pro jednotlivé servery za použití certifikační autority, která byla nainstalována jako důvěryhodná na všech počítačích — umí to třeba Squid. Funguje to ale jenom pro klasickou proxy (nastavenou ručně nebo přes WPAD), nikoliv transparentní. Ti nejlepší používají (nebo alespoň používali) subCA certifikáty od standardních certifikačních autorit, aby se nemuselo na počítače nic instalovat, ale ty certifikační autority se s vámi o vydání subCA certifikátů nejspíš moc bavit nebudou. Real-time prolamování HTTPS funguje jen v NSA^H^H^HCSI Miami

Co se týče ostatního (nešifrovaného) provozu, úplně na to stačí tcpdump.

Ale pokud tohle chcete používat na nějaké síti s více osobami, tak si nejprve přečtěte § 182 TZ.

[maros]

Monitorovanie: SNMP + IDS + NetFlow + aplikacne proxy.
SSL dekryptovanie maju hardverove firewally od strednej triedy vyssie.

[vty67]

Sten: https proxy jak popisuješ u Squid, ale transparentní IMHO už zřejmě existuje.
Šla by realizovat v OpenBSD pomocí paket filtru pf a "SSL inspection" módu relayd (od verze 5.4 OpenBSD).
Popis fungování v příslušné sekci manu relayd.conf:
http://www.openbsd.org/cgi-bin/man.cgi?query=relayd.conf&sektion=5&arch=&apropos=0&manpath=OpenBSD+Current

[JardaP .]

Cmuchalum, co si hraji na NSA, by stejne bylo nejlepsi dat par facek.

[j]

A je to morální? K čemu to má sloužit? To mi už přijde lepší blokace.

Nejen ze to je nemoralni, ono je to i nezakonne, dokonce je to trestny cin.

[pavele]

Chcete tím říci, že je možné se nabourat/odposlechnout např. internetové bankovnictví, které probíhá právě přes https, pokud se dotyčný "dostane do cesty" (já-ve-firemní-síti->internetové bankovnictví přes https)?

[j]

Pokud uzivatel nekontroluje certifikaty, tak to mozne je. Vyuziva se toho, ze prohlizec "duveruje" nejaky autorite a tudiz nezobrazi zadny varovani. Ale pokud se podivas, tak zjistis, ze podepsany to je uplne necim jinym nez by byt melo.

Ty defakto nedelas nic jinyho, nez ze uzivateli podstrcis "svuj" https web. Priklad, otevres si https://csob.cz  => tohle proxina vidi, protoze tim zahajujes komunikaci na port 443 ... odchyti to a posle stejny req ... stahne si tu stranku => normalne ji vidi, a zasifruje ji svym certifikatem (kterymu ty duverujes => zadny varovani) a vrati to jako odpoved tvymu prohlizeci. Pokud se ty spokojis tim, ze https je "zeleny" a nepodivas se na certifikat ... tak nic nezjistis.

[Jimm]

Pokud je to prostředí firmy, stejně tam mají jejich pc a pokud tam mají jejich pc, řeší to keyloggery.